Jump to content
Search In
  • More options...
Find results that contain...
Find results in...

Violin Panda последние два года «тихо» атаковала компании по всему миру

Sign in to follow this  
mr.save

12 views

Киберпреступная группировка APT20 (также известная как Violin Panda и th3bug) предположительно спонсируемая правительством Китая, в течение последних двух лет без лишнего шума атаковала компании и правительственные учреждения, похищая пароли и обходя двухфакторную аутентификацию для сбора данных

По словам специалистов из ИБ-фирмы Fox-IT, атаки группировки затронули компании в 10 странах, включая США, Великобританию, Францию, Германию и Италию. Киберпреступники провели глобальную шпионскую кампанию, которую специалисты назвали «Operation Wocao», нацеленную на такие отрасли, как авиация, строительство, финансовая сфера, здравоохранение, страхование, азартные игры и энергетика.

Как полагают эксперты, киберпреступники принадлежат к группировке APT20, которая в период с 2009 по 2014 год организовала кампании, нацеленные на университеты, а также военные, медицинские и телекоммуникационные компании. Группировка несколько лет оставалась в тени, но сейчас возобновила свою деятельность.

Преступники обычно получают доступ к системам организации, эксплуатируя уязвимость в web-серверах, которыми управляет компания или государственное учреждение. Затем они продвигаются дальше по сети в поисках системных администраторов с привилегированным доступом к наиболее важным частям компьютерной системы.

APT20 загружала кейлоггеры на компьютерные системы администраторов для записи нажатий клавиш и хищения паролей. По словам специалистов, группа также смогла как минимум в одном случае обойти систему двухфакторной аутентификации RSA SecurID, скопировав ее коды.

Преступники эффективно скрывают свои следы, регулярно удаляя инструменты для кражи данных с зараженных компьютеров. В ходе кампании они использовали такие инструменты, как web-шеллы для загрузки файлов и выполнения команд, скрипт для сканирования системы на предмет необходимой преступнику информации, кастомный бэкдор XServer, CheckAdmin для определения авторизованных администраторов и пр.

Sign in to follow this  


0 Comments


Recommended Comments

There are no comments to display.

Guest
Add a comment...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...