Расследование Positive Technologies: новая APT-группировка атакует госучреждения в разных странах мира.

[Artifact]

Специалисты экспертного центра безопасности Positive Technologies (PT Expert Security Center) выявили APT-группировку, получившую название Calypso.

Специалисты экспертного центра безопасности Positive Technologies (PT Expert Security Center) https://www.ptsecurity.com/ru-ru/res...ypso-apt-2019/ , получившую название Calypso. Группировка действует с 2016 года и нацелена на государственные учреждения. На данный момент она действует на территории шести стран.
По данным экспертов, от действий группировки уже пострадали организации из Индии (34% жертв), Бразилии, Казахстана (по 18%), России, Таиланда (по 12%) и Турции (6%). Злоумышленники взламывали сетевой периметр и размещали на нем специальную программу, через которую получали доступ к внутренним сетям скомпрометированных организаций. Как показало расследование, злоумышленники продвигаются внутри сети либо с помощью эксплуатации уязвимости удаленного исполнения кода MS17-010 , либо с помощью украденных учетных данных.
«Успеху атак этой группировки во многом способствует тот факт, что большинство утилит, применяемых ею для продвижения внутри сети, широко используются специалистами по всему миру для сетевого администрирования, — рассказал ведущий специалист группы исследования киберугроз Денис Кувшинов. — Группировка использовала общедоступные утилиты и эксплойты, например https://docs.microsoft.com/en-us/sysinternals/[1], https://github.com/gentilkiwi/mimikatz[2]; https://en.wikipedia.org/wiki/EternalBlue, EternalRomance[3]. При помощи распространенных эксплойтов преступники заражают компьютеры в локальной сети организации и похищают конфиденциальные данные».
По словам специалистов Positive Technologies, организация может предотвратить такие атакиhttps://www.ptsecurity.com/ru-ru/pro...ack-discovery/ , которые позволят вычислить подозрительную активность на начальной стадии проникновения злоумышленников в локальную сеть и не дадут им закрепиться в инфраструктуре компании. Кроме того, обнаружить атаки и противодействовать им помогут https://www.ptsecurity.com/ru-ru/products/mpsiem/ , защита периметра и веб-приложений.
Согласно полученным данным, выявленная APT-группировка предположительно имеет азиатские корни и относится к числу китайскоговорящих. В одной из атак группировка использовала вредоносную программу PlugX, которую традиционно используют многие APT-группы китайского происхождения, а также троян Byeby, который применялся https://www.ptsecurity.com/upload/co...017-Q4-rus.pdf в 2017 году. Кроме того, во время отдельных атак злоумышленники по ошибке раскрывали свои реальные IP-адреса, принадлежащие китайским провайдерам.
[1] Легитимный набор утилит для администрирования Windows.
[1] Утилита для получения учетных данных пользователя, в том числе пароля.
[3] Эксплойты для уязвимости MS17-010.