Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   APT Berserk Bear атаковала десятки правительственных сетей в США (http://txgate.io:443/showthread.php?t=16029)

Artifact 03-14-2025 11:47 AM

Преступники эксплуатируют уязвимости в Exim Simple Mail Transfer Protocol, Fortinet VPN и уязвимость Zerologon.
https://www.securitylab.ru/upload/ib...fc2768d87c.jpg
Федеральное бюро расследований (ФБР) и Агентство по кибербезопасности и безопасности инфраструктуры (CISA) https://us-cert.cisa.gov/ncas/alerts/aa20-296aо киберпреступной APT-группировке, которая атаковала местные, территориальные, государственные, а также авиационные IT-системы в различных штатах США.
По крайней мере с сентября 2020 года APT-группировка Berserk Bear (также известная как Energetic Bear, TeamSpy, Dragonfly, Havex, Crouching Yeti и Koala) организовала вредоносную кампанию против десятков правительственных и авиационных сетей, предприняла несколько попыток взлома ряда организаций, успешно скомпрометировала сетевую инфраструктуру и по состоянию на 1 октября 2020 года похитила данные как минимум с двух серверов.
Преступники с помощью учетных данных пользователя и администратора устанавливают начальный доступ и перемещаются по сети в поисках ценных активов для кражи. По крайней мере в одном случае хакеры взломали сеть жертвы и получили доступ к документам, связанным с конфиденциальными сетевыми конфигурациями и паролями, стандартными рабочими процедурами, IT-инструкциями по запросу сброса пароля, а также поставщиками и информацией о закупках.
APT использует турецкие IP-адреса для подключения к web-серверам жертв. Хакеры используют 213.74.101 [.] 65 и 213.74.139 [.] 196 для попытки авторизации в системе путем брутфорса и в некоторых случаях пытаются осуществить внедрение SQL-кода. Злоумышленники сканируют Сеть на предмет уязвимых служб Citrix и Microsoft Exchange и активно эксплуатируют уязвимость обхода каталога в Citrix ( CVE-2019-19781 ) и уязвимость удаленного выполнения кода в Microsoft Exchange ( CVE-2020-0688 ).
APT использовала подключения к Cisco AnyConnect SSL VPN для удаленной авторизации в системе по крайней одной из жертв, предположительно, с помощью уязвимости в Exim Simple Mail Transfer Protocol (SMTP) ( CVE 2019-10149 ). Ранее группировка эксплуатировала уязвимость в Fortinet VPN ( CVE-2018-13379 ) для начального доступа и уязвимость Zerologon ( CVE-2020-1472 ) для повышения привилегий и получения доступа к серверам Windows Active Directory.
В настоящее время у ФБР и CISA нет свидетельств вмешательства в работу авиационных, образовательных, избирательных и правительственных систем.


All times are GMT. The time now is 06:05 AM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.