Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Кибершпионы TAG-100 использует бэкдор Pantegana для атаки на организации

18/07/24

backdoor5-Jul-18-2024-09-16-41-7081-AM

Кибершпионская группировка TAG-100 провела масштабную атаку на государственные и частные организации по всему миру, используя устройства с доступом в интернет и бэкдор Pantegana. Среди пострадавших оказались две межправительственные организации Азиатско-Тихоокеанского региона и несколько дипломатических и торговых структур, пишет Securitylab.

Эксперты Insikt Group обнаружили кампанию, подчеркнув, что TAG-100 использует возможности удаленного доступа, предоставляемые открытым ПО, а также эксплуатирует различные интернет-устройства для получения первоначального доступа. Подобная активность демонстрирует растущую тенденцию кибершпионажа с применением open-source инструментов, что упрощает деятельность даже для менее опытных злоумышленников и снижает потребность в разработке уникальных решений.

В результате атаки пострадали организации в как минимум 10 странах, включая Африку, Азию, Северную и Южную Америку, а также Океанию. Группа использовали Golang-инструменты Pantegana и SparkRAT после проникновения:

  • Бэкдор Pantegana, написанный на языке Go, работает на различных платформах (Windows, Linux, macOS) и использует HTTPS для коммуникаций с C2-сервером. Pantegana поддерживает загрузку и выгрузку файлов, сбор информации о системе и выполнение команд на зараженном хосте.
  • Open Source инструмент SparkRAT на основе Golang может работать в Windows, macOS, Linux и предлагает функции удаленного доступа. SparkRAT способен выполнять множество действий, в том числе удаленно выполнять системные команды PowerShell и Windows, загружать, выгружать и удалять файлы, собирать системную информацию.

Среди целевых устройств оказались продукты Citrix NetScaler, F5 BIG-IP, Zimbra, Microsoft Exchange, SonicWall, Cisco ASA, Palo Alto Networks GlobalProtect и Fortinet FortiGate. Особую озабоченность вызывает эксплуатация уязвимостей устройств, имеющих доступ к интернету, так как они имеют ограниченные возможности для обнаружения и ведения логов. Это уменьшает вероятность выявления атак после их совершения и ставит организации под угрозу простоев, ущерба репутации и штрафов.

В отчете выделяется уязвимость внедрения команд CVE-2024-3400 (оценка CVSS: 10.0) в Palo Alto Networks GlobalProtect, которая из-за ошибки в создании произвольного файла в функции GlobalProtect позволяет неаутентифицированному злоумышленнику выполнить произвольный код с root-привилегиями в брандмауэре. Ошибка использовалась для атак на устройства, в основном базирующихся в США, которые относятся к различным отраслям, включая образование, финансы и госсструктуры.

Организации должны принимать меры для защиты своих систем от подобных атак. Рекомендуется настроить системы обнаружения и предотвращения вторжений для блокировки подозрительных IP-адресов и доменов, обеспечить мониторинг всех внешне доступных сервисов и устройств, приоритизировать установку исправлений для уязвимостей, особенно тех, что уже активно эксплуатируются, а также внедрить сегментацию сети и многофакторную аутентификацию.

Темы:ПреступлениякибершпионажбэкдорыКибератакиInsikt
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...