Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Violin Panda последние два года атаковала компании по всему миру

19/12/19

violpandaКиберпреступная группировка APT20 (также известная как Violin Panda и th3bug) предположительно спонсируемая правительством Китая, в течение последних двух лет без лишнего шума атаковала компании и правительственные учреждения, похищая пароли и обходя двухфакторную аутентификацию для сбора данных

По словам специалистов из ИБ-фирмы Fox-IT, атаки группировки затронули компании в 10 странах, включая США, Великобританию, Францию, Германию и Италию. Киберпреступники провели глобальную шпионскую кампанию, которую специалисты назвали «Operation Wocao», нацеленную на такие отрасли, как авиация, строительство, финансовая сфера, здравоохранение, страхование, азартные игры и энергетика.

Как полагают эксперты, киберпреступники принадлежат к группировке APT20, которая в период с 2009 по 2014 год организовала кампании, нацеленные на университеты, а также военные, медицинские и телекоммуникационные компании. Группировка несколько лет оставалась в тени, но сейчас возобновила свою деятельность.

Преступники обычно получают доступ к системам организации, эксплуатируя уязвимость в web-серверах, которыми управляет компания или государственное учреждение. Затем они продвигаются дальше по сети в поисках системных администраторов с привилегированным доступом к наиболее важным частям компьютерной системы.

APT20 загружала кейлоггеры на компьютерные системы администраторов для записи нажатий клавиш и хищения паролей. По словам специалистов, группа также смогла как минимум в одном случае обойти систему двухфакторной аутентификации RSA SecurID, скопировав ее коды.

Преступники эффективно скрывают свои следы, регулярно удаляя инструменты для кражи данных с зараженных компьютеров. В ходе кампании они использовали такие инструменты, как web-шеллы для загрузки файлов и выполнения команд, скрипт для сканирования системы на предмет необходимой преступнику информации, кастомный бэкдор XServer, CheckAdmin для определения авторизованных администраторов и пр.

Темы:КитайПреступленияAPT-группы
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...