Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Названы подозреваемые в атаках на сайты аэропорта Сан-Франциско

15/04/20

FraciplanesПо данным специалистов ESET, за недавними взломами двух сайтов аэропорта Сан-Франциско может стоять APT-группа Energetic Bear, также известная как DragonFly.

Как сообщили исследователи в серии твитов, использовавшиеся в кибератаках тактики, техники и процедуры (TTP) совпадают с TTP хакеров из Energetic Bear. Целью злоумышленников было похищение учетных данных пользователей (имен пользователей/NTLM-хэша), посещавших сайты аэропорта Сан-Франциско. При этом хакеров интересовали не учетные данные для авторизации на взломанных сайтах, а учетные данные Windows, которые они пытались похитить путем эксплуатации функции SMB и префикса file://.

«Вопреки сообщениям нескольких человек, специалисты ESETresearch выяснили, что атака никак не связана с похитителями учетных данных Magecart», - сообщили исследователи.

По словам специалиста ESET Матье Фау (Matthieu Faou), тактики, техники и процедуры Energetic Bear мог скопировать кто-то еще, и нельзя быть на 100% уверенными в том, что атаки на сайты аэропорта Сан-Франциско действительно осуществила эта группировка.

Исследователи уведомили руководство аэропорта о взломе в марте нынешнего года, и уязвимости были исправлены.

Energetic Bear активна по меньшей мере с 2010 года. В основном она атакует компании в энергетическом и промышленном секторах по всему миру, но больше всего на Среднем Востоке, в Турции и США. Согласно отчету «Лаборатории Касперского» за апрель 2018 года, группировка расширила круг своих жертв, добавив в него компании из аэрокосмического и авиастроительного секторов. Интересно, что в своем отчете специалисты ЛК описали атаку watering hole, в ходе которой Energetic Bear использовала все тот же трюк с префиксом file://.

В свою очередь, Magecart – общее название для целого ряда киберпреступных группировок, атакующих преимущественно интернет-магазины с целью похищения данных платежных карт покупателей.

Темы:СШАПреступленияESET
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

  • Фиды для SOC. Осведомлен – значит вооружен
    Александр Пирожков, Руководитель группы по развитию бизнеса в СНГ и Грузии компании ESET
    Разведка в сфере ИБ – это подключение потоков данных об угрозах. Рано или поздно каждый современный SOC осваивает данный инструмент.

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...