Лаборатория Касперского DeftTorero Volatile Cedar Ливан APT RAT троян RDP TTPs GitHub Open Source
После затишья группа возобновила атаки, используя общедоступные инструменты.
В середине 2021 года исследователи «Лаборатории Касперского» обнаружили волну новых атак ливанской
Усовершенствованная постоянная угроза (APT) — это скрытая угроза, за которой обычно стоит национальное государство или спонсируемая государством группа, которая получает несанкционированный доступ к компьютерной сети и остается незамеченной в течение длительного периода времени. В последнее время этот термин может также относиться к нефинансируемым государством группам, осуществляющим крупномасштабные целевые вторжения для достижения определенных целей.
Мотивы таких субъектов угрозы обычно носят политический или экономический характер.
"
data-html="true" data-original-title="APT"
>APT-группы DeftTorero (также известна как Volatile Cedar).
DeftTorero, впервые обнаруженная в 2012 году, активно атакует правительственные, военные, образовательные, корпоративные и телекоммуникационные отрасли, в частности в ОАЭ, Саудовской Аравии, Египте, Кувейте, Ливане, Иордании и Турции.
Ранее Volatile Cedar активно использовала
RAT троян Explosive для сбора конфиденциальной информации . Затем группировка прекратила свою деятельность и возобновила ее в 2021 году, после чего эксперты «Лаборатории Касперского» предположили, что хакеры изменили TTPs с целью замаскировать свою активность с использованием бесфайловых вредоносных программ и оставаться незамеченными.
Как показало новое
расследование Лаборатории Касперского , DeftTorero использовала форму загрузки файлов и уязвимость внедрения команд веб-приложения на действующем сайте или в песочнице, размещенных на целевом веб-сервере, для установки веб-шелла.
В других случаях, вероятно, использовались плагины, предварительно установленные администраторами сервера, и учетные данные сервера для входа в систему через
Remote Desktop Protocol (протокол удалённого рабочего стола) предоставляет возможности удаленного отображения и ввода через сетевые подключения для приложений, работающих на сервере. Протокол RDP предназначен для поддержки различных типов сетевых топологий и нескольких протоколов локальной сети."
data-html="true" data-original-title="RDP"
>RDP протокол для развертывания вредоносного скрипта. После загрузки вредоносного кода, хакеры попытались установить дополнительные инструменты для проникновения во внутренние системы. Анализ «Лаборатории Касперского» показал, что почти все развернутые веб-оболочки были созданы из репозиториев GitHub.
По словам экспертов Лаборатории Касперского, в прошлом DeftTorero не отличалась высоким уровнем технологического мастерства, но open-source инструменты, бесфайловые атаки и модификации инструментов по-прежнему используются группой для успешной компрометации жертв.
Поскольку такие атаки развиваются быстро и часто остаются незамеченными, их необходимо нейтрализовать на ранних стадиях. Специалисты порекомендовали организациям постоянно отслеживать уязвимости в общедоступных веб-приложениях, а также следить за целостностью файлов веб-приложений. Также в
своем отчете
исследователи поделились еще несколькими мерами защиты от атак на веб-приложения.
SECURITYLAB.RU
