Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

APT Berserk Bear атаковала десятки правительственных сетей в США

26/10/20

bearhackerФедеральное бюро расследований (ФБР) и Агентство по кибербезопасности и безопасности инфраструктуры (CISA) сообщили о киберпреступной APT-группировке, которая атаковала местные, территориальные, государственные, а также авиационные IT-системы в различных штатах США.

По крайней мере с сентября 2020 года APT-группировка Berserk Bear (также известная как Energetic Bear, TeamSpy, Dragonfly, Havex, Crouching Yeti и Koala) организовала вредоносную кампанию против десятков правительственных и авиационных сетей, предприняла несколько попыток взлома ряда организаций, успешно скомпрометировала сетевую инфраструктуру и по состоянию на 1 октября 2020 года похитила данные как минимум с двух серверов.

Преступники с помощью учетных данных пользователя и администратора устанавливают начальный доступ и перемещаются по сети в поисках ценных активов для кражи. По крайней мере в одном случае хакеры взломали сеть жертвы и получили доступ к документам, связанным с конфиденциальными сетевыми конфигурациями и паролями, стандартными рабочими процедурами, IT-инструкциями по запросу сброса пароля, а также поставщиками и информацией о закупках.

APT использует турецкие IP-адреса для подключения к web-серверам жертв. Хакеры используют 213.74.101 [.] 65 и 213.74.139 [.] 196 для попытки авторизации в системе путем брутфорса и в некоторых случаях пытаются осуществить внедрение SQL-кода. Злоумышленники сканируют Сеть на предмет уязвимых служб Citrix и Microsoft Exchange и активно эксплуатируют уязвимость обхода каталога в Citrix ( CVE-2019-19781 ) и уязвимость удаленного выполнения кода в Microsoft Exchange ( CVE-2020-0688 ).

APT использовала подключения к Cisco AnyConnect SSL VPN для удаленной авторизации в системе по крайней одной из жертв, предположительно, с помощью уязвимости в Exim Simple Mail Transfer Protocol (SMTP) ( CVE 2019-10149 ). Ранее группировка эксплуатировала уязвимость в Fortinet VPN ( CVE-2018-13379 ) для начального доступа и уязвимость Zerologon ( CVE-2020-1472 ) для повышения привилегий и получения доступа к серверам Windows Active Directory.

В настоящее время у ФБР и CISA нет свидетельств вмешательства в работу авиационных, образовательных, избирательных и правительственных систем.

Темы:СШАПреступленияAPT-группыправительственные кибератаки
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...