Киберпреступники находят лазейки в защите правительств.
Кибершпионская группировка TAG-100 провела масштабную атаку на государственные и частные организации по всему миру, используя устройства с доступом в интернет и бэкдор Pantegana. Среди пострадавших оказались две межправительственные организации Азиатско-Тихоокеанского региона и несколько дипломатических и торговых структур.
Эксперты кампанию, подчеркнув, что TAG-100 использует возможности удаленного доступа, предоставляемые открытым ПО, а также эксплуатирует различные интернет-устройства для получения первоначального доступа. Подобная активность демонстрирует растущую тенденцию кибершпионажа с применением open-source инструментов, что упрощает деятельность даже для менее опытных злоумышленников и снижает потребность в разработке уникальных решений.
В результате атаки пострадали организации в как минимум 10 странах, включая Африку, Азию, Северную и Южную Америку, а также Океанию. Группа использовали Golang-инструменты Pantegana и SparkRAT после проникновения:
Среди целевых устройств оказались продукты Citrix NetScaler, F5 BIG-IP, Zimbra, Microsoft Exchange, SonicWall, Cisco ASA, Palo Alto Networks GlobalProtect и Fortinet FortiGate. Особую озабоченность вызывает эксплуатация уязвимостей устройств, имеющих доступ к интернету, так как они имеют ограниченные возможности для обнаружения и ведения логов. Это уменьшает вероятность выявления атак после их совершения и ставит организации под угрозу простоев, ущерба репутации и штрафов.
В выделяется уязвимость внедрения команд (оценка CVSS: 10.0) в Palo Alto Networks GlobalProtect, которая из-за ошибки в создании произвольного файла в функции GlobalProtect позволяет неаутентифицированному злоумышленнику выполнить произвольный код с root-привилегиями в брандмауэре. Ошибка использовалась для атак на устройства, в основном базирующихся в США, которые относятся к различным отраслям, включая образование, финансы и госсструктуры.
Организации должны принимать меры для защиты своих систем от подобных атак. Рекомендуется настроить системы обнаружения и предотвращения вторжений для блокировки подозрительных IP-адресов и доменов, обеспечить мониторинг всех внешне доступных сервисов и устройств, приоритизировать установку исправлений для уязвимостей, особенно тех, что уже активно эксплуатируются, а также внедрить сегментацию сети и многофакторную аутентификацию.
Подробнее:
Кибершпионская группировка TAG-100 провела масштабную атаку на государственные и частные организации по всему миру, используя устройства с доступом в интернет и бэкдор Pantegana. Среди пострадавших оказались две межправительственные организации Азиатско-Тихоокеанского региона и несколько дипломатических и торговых структур.
Эксперты кампанию, подчеркнув, что TAG-100 использует возможности удаленного доступа, предоставляемые открытым ПО, а также эксплуатирует различные интернет-устройства для получения первоначального доступа. Подобная активность демонстрирует растущую тенденцию кибершпионажа с применением open-source инструментов, что упрощает деятельность даже для менее опытных злоумышленников и снижает потребность в разработке уникальных решений.
В результате атаки пострадали организации в как минимум 10 странах, включая Африку, Азию, Северную и Южную Америку, а также Океанию. Группа использовали Golang-инструменты Pantegana и SparkRAT после проникновения:
- Бэкдор Pantegana, написанный на языке Go, работает на различных платформах (Windows, Linux, macOS) и использует HTTPS для коммуникаций с C2-сервером. Pantegana поддерживает загрузку и выгрузку файлов, сбор информации о системе и выполнение команд на зараженном хосте.
- Open Source инструмент SparkRAT на основе Golang может работать в Windows, macOS, Linux и предлагает функции удаленного доступа. SparkRAT способен выполнять множество действий, в том числе удаленно выполнять системные команды PowerShell и Windows, загружать, выгружать и удалять файлы, собирать системную информацию.
Среди целевых устройств оказались продукты Citrix NetScaler, F5 BIG-IP, Zimbra, Microsoft Exchange, SonicWall, Cisco ASA, Palo Alto Networks GlobalProtect и Fortinet FortiGate. Особую озабоченность вызывает эксплуатация уязвимостей устройств, имеющих доступ к интернету, так как они имеют ограниченные возможности для обнаружения и ведения логов. Это уменьшает вероятность выявления атак после их совершения и ставит организации под угрозу простоев, ущерба репутации и штрафов.
В выделяется уязвимость внедрения команд (оценка CVSS: 10.0) в Palo Alto Networks GlobalProtect, которая из-за ошибки в создании произвольного файла в функции GlobalProtect позволяет неаутентифицированному злоумышленнику выполнить произвольный код с root-привилегиями в брандмауэре. Ошибка использовалась для атак на устройства, в основном базирующихся в США, которые относятся к различным отраслям, включая образование, финансы и госсструктуры.
Организации должны принимать меры для защиты своих систем от подобных атак. Рекомендуется настроить системы обнаружения и предотвращения вторжений для блокировки подозрительных IP-адресов и доменов, обеспечить мониторинг всех внешне доступных сервисов и устройств, приоритизировать установку исправлений для уязвимостей, особенно тех, что уже активно эксплуатируются, а также внедрить сегментацию сети и многофакторную аутентификацию.
Подробнее:
