- Google предупреждает компанию UNC5221 для нас, технических и саас -компаний с BrickStorm -Mallware более года
- Кампания за шпионаж, кражу интеллектуальной собственности и длительный доступ к инфраструктуре
- Mandiant называет основанную на TTP охоту на угрозы и более сильную аутентификацию, чтобы противодействовать будущим атакам
Американские организации по закону секторов, технологии, SaaS и бизнес -процесса были вызваны более года новым вариантом вредоносного ПО под названием Brickstorm, что привело к серьезной потере данных.
Концерт (группа угроз разведки) из Google (GIG) обнаружил, что игроки угрозы находятся за кампанией UNC521, подозреваемой угрозой Китая-Нексера, которая известна скрытными операциями и долгосрочной устойчивостью.
Эта группа первоначально была нацелена на слабые точки нулевого дня в Устройства Linux и устройства на основе BSD, поскольку они часто упускаются из виду в активах и исключаются из центрального регистрации. Таким образом, они предоставляют злоумышленникам для идеальной позиции.
Кибер -шпионаж
Оказавшись внутри, использовал UNC5221 Brickstorm для перемещения в сторону, для сбора информации о входе в систему и использования минимальных данных телеметрии. В некоторых случаях вредоносное ПО оставалось незамеченным в течение более года, так как средний период добычи считался мощным 393 днями.
Во многих случаях они кружатся от окраины к vmware vCenter и хостам Esxi, используя украденную информацию для входа в систему для обеспечения кирпичного шторма и эскалации разрешений.
Чтобы сохранить настойчивость, вы изменили начальные сценарии и предоставили веб -оболочки, которые позволили выполнить удаленную команду. Они клонировали чувствительные виртуальные машины, не включая их и, таким образом, избегая инструментов безопасности.
Цели кампании, по -видимому, включают геополитический шпионаж, кражу интеллектуальной собственности и доступ к операциям.
Поскольку юридические компании также были нацелены, исследователи подозревали, что UNC5221 заинтересовался в темах безопасности США и торговли, в то время как в центре внимания можно было бы использовать для поставщиков SaaS, чтобы превратиться в нисходящую среду клиентов.
Чтобы противодействовать Brickstorm, Mandiant рекомендует подход к охоте на угрозу к тактике, методам и процедурам (TTP), чем на атомных показателях, которые оказались ненадежными из -за операционной дисциплины субъекта.
Исследователи попросили компании обновить запасы активов, контролировать и обеспечить соблюдение трафика приборов Многофакторная аутентификация.
Вы также могли бы понравиться
