В России была зафиксирована новая атака азиатской высокоорганизованной хакерской группировки Obstinate Mogwai, целью которой были конфиденциальные данные. Их злоумышленники пытались похитить с помощью взломанных учетных записей. Об этом "Газете.Ru" сообщили в пресс-службе компании "Солар".
Благодаря системе контроля привилегированных пользователей Solar SafeInspect, установленной в атакованной организации, действия хакеров были зафиксированы на видео.
Это значительно сократило время расследования и позволило получить дополнительные сведения об используемых злоумышленниками техниках.Первые признаки атаки были зафиксированы службой мониторинга Solar JSOC. Система обнаружила запросы к веб-ресурсу с индикатором компрометации, который уже находился в базе Solar 4RAYS. Злоумышленники скомпрометировали инфраструктуру подрядчика и использовали его привилегированные учетные записи для доступа к сети жертвы, включая терминальные серверы с системами электронного документооборота.
Система класса Privileged Access Management (PAM) - Solar SafeInspect, развернутая у заказчика, позволила отслеживать активность привилегированных учетных записей и автоматически вести запись экрана с их сессиями. Благодаря этим записям удалось выяснить, что атакующие интересовались конфиденциальными документами, связанными со странами Азиатского региона.
Это не первый случай, когда исследователи сталкиваются с группировкой Obstinate Mogwai. С 2023 года с этой группой были связаны четыре расследования, проведенных Solar 4RAYS, но не исключено, что жертв у группировки значительно больше. Основная цель злоумышленников - кибершпионаж, а жертвы - российские госструктуры, ИТ-компании и их подрядчики.
Свежие комментарии