თარიღი
/   ავტორიSCSA

ახალი საფრთხე ATTACKIQ სისტემაზე

 რუბრიკა:  თავდასხმები

ATTACKIQ წარმოადგენს კიბერ უსაფრთხოების როგორც სერვისების, ისე საგანმანათლებლო მიმართულებით ერთ-ერთ ლიდერ კომპანიას. მათი ახალი პლატფორმის – AttackIQ Flex-ის, რომელიც არის ქსელების და სისტემის დაცვის უახლესი ინსტრუმენტი, სისტემის შემოწმების მიზნით კონკრეტულ პირებს გაუგზავნა შეტყობინება.
მომხმარებელი ბმულის საშუალებით გადადის ლეგიტიმურ AttackIQ სერვერზე, სადაც რეგისტრაციის გავლის შემდგომ მათ ეძლევათ სპეციალური ნაკრების გადმოწერის შესაძლებლობა, რომელიც, მათ შორის, მოიცავს უახლესი რუსული კიბერშეტევის ექსპლოიტის ბაზებს. შესაბამისი გამშვები ფაილის გადმოწერის შემდგომ დადგინდა რომ მისი ჰეში არ ემთხვეოდა ვებგვერდზე განთავსებული ფაილის ჰეშს. შესაბამისად, ე.წ. Sandbox-ში (იზოლირებულ გარემოში) ფაილის გაშვების შემდგომ, ანტივირუსულმა და შეღწევის საწინააღდეგო სისტემამ Bitdefender Total Security-მ თავის ვირტუალიზირებულ გარემოში გაუშვა ფაილი სახელით Threat_CISA_AA23_347A_V1_0_1 რომლის დამუშავების პროცესშიც ფონურ რეჟიმში Windows Powershell-ის ფანჯარაში დაიბლოკა სკრიპტები,რომელიც აინსტალირებდა ცნობილ mimikatz.exe სამიზნე სისტემაზე შემდგომში მისი დისტანციური მანიპულირებისა და კონფიდენციალური ინფორმაციის მოპარვის მიზნით.
შეღწევის საწინააღმდეგო სისტემამ წარმოადგინა დასახელებები იმ სახიფათო შიგთავსისა რომელიც შეტევის შედეგად უნდა დაინსტალირებულიყო სისტემაში კერძოდ:
.ghostex-cli-wd-1787841625\tmp\f601a3b6-2587-436d-a635-e8589d69d6b8.zip has been detected as infected with Generic.Application.Lazagne.G.C21690F2.
.ghostex-cli-wd-1787841625\tmp\f601a3b6-2587-436d-a635-e8589d69d6b8.zip=>bin/dump_passwords_util/mimikatz/undetectable/undetectable_mimikatz_dcsync_agent.py is infected with Heur.BZC.PZQ.Boxter.121.5480C1DF
.ghostex-cli-wd-1787841625\tmp\f601a3b6-2587-436d-a635-e8589d69d6b8.zip=>bin/dump_passwords_util/lazagne/lazagne_agent.py is infected with Generic.Application.Lazagne.G.C21690F2
ქვემოთ მოცემულია ანალიზის პროცესის შესაბამისი ფოტო-მასალა.

საწყისი წერილი კომანია ATTACKIQ-საგან:


წერილში მითითებული ვებ გვერდის სკრინშოტი,საიდანაც შესაძლებელია სისტემის სისუსტეების ანალიზისათვის (ინფიცირების მთავარი წყარო) სპეციალური ფაილის გადმოწერა/ The

Mimikatz.exe სკრინშოტი

ვირუსის მეორე სკრინშოტი

შეტევის ვექტორის სკრინშოტი

 

პუბლიკაციის გაზიარება

Facebook
Twitter
LinkedIn
Telegram

მოგეწონათ სტატია ?

გამოიწერეთ ჩვენი სიახლეები

სხვა სტატიები

სისტემის უსაფრთხოების აუდიტი

თქვენი IT სისტემების მთლიანი უსაფრთხოების უზრუნველყოფა სასიცოცხლოდ მნიშვნელოვანია. სამეცნიერო კიბერუსაფრთხოების ასოციაცია (SCSA) გთავაზობთ სისტემის უსაფრთხოების აუდიტს, რათა უზრუნველყოს თქვენი სისტემის ყოვლისმომცველი შეფასება. შეღწევადობის ტესტისგან განსხვავებით, რომელიც ფოკუსირებულია დაუცველობის გამოყენებაზე, უსაფრთხოების აუდიტი უფრო ფართო მიდგომას წარმოადგენს.

SCSA-ს უსაფრთხოების პროფესიონალები ზედმიწევნით შეისწავლიან თქვენს სისტემებს, პოლიტიკებს და პროცედურებს. ისინი განიხილავენ წვდომის კონტროლს, მონაცემთა უსაფრთხოების პრაქტიკას, ქსელის კონფიგურაციას და ინდუსტრიის საუკეთესო პრაქტიკის დაცვას. ეს სიღრმისეული ანალიზი გვეხმარება სისუსტეების და სფეროების, იდენტიფიცირებაში, რომლებიც შეიძლება გამოიყენონ თავდამსხმელებმა და სადაც შესაბამისობის რეგულაციები შესაძლოა სრულად არ იყოს დაცული.

აუდიტის შემდეგ, SCSA წარუდგენს დეტალურ ანგარიშს, სადაც აღწერილი იქნება უსაფრთხოების ხარვეზები, პოტენციური რისკები და რეკომენდებული გაუმჯობესებები. ეს საშუალებას გაძლევთ პრიორიტეტულად დაგეგმოთ მოქმედებები თქვენი სისტემების გასაძლიერებლად და შექმნათ უფრო ძლიერი უსაფრთხოების სისტემა. აუდიტის დროს გამოვლენილი დაუცველობის და ნაკლოვანებების პროაქტიული მოგვარებით, თქვენ შეგიძლიათ მნიშვნელოვნად შეამციროთ მონაცემთა დარღვევისა და კიბერშეტევების რისკი.

I agree to Privacy Policy of Scientific Cyber Security Association