Зафиксирована кибератака на нефтегазовую компанию

Центр по борьбе с компьютерными инцидентами (CERT.GOV.AZ) Государственной службы специальной связи и информационной безопасности Азербайджана (ГСССИБ) провел индикаторно-ориентированную разведку угроз и технические исследования на основе данных об активности, представляющей киберугрозу. Согласно полученным сведениям, APT-группа FamousSparrow (по утверждениям, связанная с Китаем) осуществила многоэтапную кибератаку против одной из компаний нефтегазового сектора Азербайджана.
Как передает Nedelia.az со ссылкой на Media.az, об этом говорится в информации Центра по борьбе с компьютерными инцидентами Государственной службы специальной связи и информационной безопасности Азербайджанской Республики.
Злоумышленники получили первоначальный доступ, использовав уязвимости ProxyShell и ProxyNotShell на платформе Microsoft Exchange Server, после чего разместили в системе web shell для обеспечения постоянного доступа. На последующих этапах с помощью техники DLL sideloading были задействованы вредоносные программы Deed RAT и TernDoor.
Однако в ходе детального анализа в сегменте AzStateNet не обнаружено никаких следов активности FamousSparrow. Проведены проверки безопасности по хешам файлов, доменам, URL-адресам и другим индикаторам компрометации, связанным с вектором атаки, а также оценены потенциальные признаки компрометации через хеш-значения. По доменным индикаторам в сети AzStateNet выполнены соответствующие запросы. В результате на основе технических индикаторов атаки реализованы превентивные меры блокировки и применены ограничения в системах безопасности.
Государственным органам рекомендуется:
- расследовать подозрительные outbound-соединения и аномальную активность;
- при выявлении признаков компрометации оперативно информировать соответствующие структуры;
- проводить проверки по доменам sentinelonepro[.]com:443 и virusblocker[.]it[.]com:443;
- осуществлять ретроспективный и текущий мониторинг IOC-индикаторов, направленных учреждениям;
- проводить индикаторно-ориентированные проверки на базе государственной почтовой службы, SIEM, EDR/XDR, firewall, proxy и DNS-логов;
- выполнять дополнительный анализ инфраструктуры Microsoft Exchange и записей аутентификации.
Центр продолжает мониторинг и разведку угроз для защиты критической информационной инфраструктуры от киберугроз, своевременного выявления потенциальной атакующей активности и реализации превентивных мер безопасности.

• 16 мая, 13:10