VERZENDING rapport: Bedrijven besteden op cyberdefense maar missen supply chain vulnerability
Cybersecurity agentschap waarschuwt 796 aanvallen op het bedrijfsleven, zegt dat hackers zullen proberen om hun doelstellingen te halen door middel van hun leveranciers.
Een hack werking is gericht op HET de aanbieders van de malware in wat wordt beschouwd als het begin van de supply chain van aanvallen met het uiteindelijke doel van afbreuk te doen aan klant-organisaties.
Nagesynchroniseerde Schildpad, het hacken van de groep maakt gebruik van een combinatie van aangepaste en off-the-shelf malware – en is op dit moment niet gedacht aan een verband met activiteiten door criminelen of de natie-staat een back-spionage campagnes. De eerder ongedocumenteerde campagne is ontdekt en uitgewerkt door de onderzoekers van de veiligheid van Symantec.
Schildpad is actief sinds ten minste juli 2018. In die tijd, onderzoekers zeggen dat de groep heeft zich gericht op ten minste 11 aanbieders, de meeste zijn gevestigd in Saoedi-Arabië. Bewijs suggereert dat de misbruikers domain admin niveau toegang tot ten minste twee van de organisaties, waardoor ze toegang krijgen tot alle machines op het netwerk.
ZIE: EEN winnende strategie voor cybersecurity (ZDNet speciale rapport) | Download het rapport als PDF (TechRepublic)
In twee van de aanslagen, vonden de onderzoekers dat honderden computers waren besmet met malware, wat aangeeft dat de aanvallers waren gewoon het infecteren van alle machines konden ze in de organisaties om te vinden van belangrijke doelen.
De meest recent opgenomen activiteit van een Schildpad was in juli 2019, met aanvallen door de groep geïdentificeerd door een uniek laadvermogen: Backdoor.Syskit.
Deze malware is gebouwd in zowel Delphi en .NETTO programmeertalen en in het geheim opent een eerste achterdeur op de besmette computers, waardoor aanvallers om informatie te verzamelen, zoals het IP-adres, de versie van het besturingssysteem en de naam van de computer.
Syskit kan ook downloaden en uit te voeren extra tools en commando ‘ s, en Schildpad zijn aanvallen ook het implementeren van een aantal voor het publiek beschikbare hulpmiddelen zoals informatie stealers om gegevens te verzamelen over de activiteiten van de gebruiker.
Terwijl het blijft onzeker hoe de malware wordt geleverd, onderzoekers suggereren dat het zou kunnen worden verspreid via een gehackte webserver, omdat in het ene geval de eerste indicatie van malware op het netwerk is een gehackte web shell – iets dat kan bieden een eenvoudige manier in een gerichte netwerk.
“Het compromitteren van een web-server, met een waarschijnlijke oude benutten, kan een eenvoudiger dan het gebruik van e-mail. Het alternatief van het gebruik van een phishing e-mail naar een compromis van het slachtoffer in het algemeen nodig is dat de aanvaller op zijn minst enige kennis van de ontvanger om het aanpassen van de e-mail om die persoon,” Gavin O ‘ Gorman, een onderzoeker in de Symantec security response team, vertelde ZDNet.
Met de campagne gericht op IT-bedrijven, onderzoekers geloven dat deze aanslagen de eerste fase van een supply chain attack de hackers zijn op zoek naar een compromis de IT-leveranciers als een opstapje naar hun klanten te netwerken.
Aanvallers betrokken in de supply chain aanvallen gebruiken een aantal methoden voor het compromis hun uiteindelijke doel, met inbegrip van software-updates te distribueren met schadelijke code. De hoge mate van toegang die HET bedrijven hebben aan de opdrachtgever netwerken maakt ze een aantrekkelijk doelwit voor hackers.
ZIE: Deze nieuwe cryptojacking malware maakt gebruik van een stiekeme truc verborgen te blijven
Zo is het belang bij de beoogde organisaties die Symantec bewijs gevonden dat sommige al eerder is gericht met behulp van gelekte tools geassocieerd met APT-34 – ook bekend als Oilrig en Helix Kitten – een hack werking met links naar de Iraanse regering. Echter, de onderzoekers geloven dat deze activiteit niet gerelateerd aan een Schildpad, maar is eerder een indicatie van het belang zoveel aanval groepen hebben in Saoedi-Arabië en het bredere Midden-Oosten.
“Saoedi-arabische Arabische organisaties zijn het doelwit van verschillende groepen hackers voor enkele jaren nu,” zei O ‘ Gorman. “Er zijn geen tekenen dat deze gerichtheid van de Saoedi-arabische Arabische organisaties zal afnemen.”
De organisaties die het doelwit van een Schildpad zijn geïnformeerd over de aanvallen en werken met Symantec beschermen van hun netwerken. Het is van mening dat de Schildpad is nog steeds actief is en zal blijven richten organisaties in de regio met het updaten van de aanvallen.
MEER OVER CYBERCRIME
IT bedrijven, telecombedrijven onder tientallen gehackt nieuwe info-stelen malware-aanval7 security tips om te voorkomen dat mensen en apps van het stelen van uw gegevens CNETCybersecurity: deze zes dingen aan het beschermen van uw bedrijf onlineHoe kunnen organisaties beter te beschermen, zich tegen de veiligheid van de toeleveringsketen bedreigingen TechRepublicDeze hackers braken in 10 telecombedrijven om te stelen van klanten telefoon records
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters