Надежный VPN для России – подключайся через наш Телеграмм-бот:
|
Киберзлодеи из Поднебесной пытаются закрепиться в сетях, но пока не очень успешно.
Две хакерские группировки из Китая, известные как UNC5325 и UNC3886, взломали системы безопасности ПО от компании Ivanti, которое используется для защиты виртуальных частных сетей (VPN). Эксперты компании Mandiant обнаружили, что UNC5325 эксплуатировала уязвимость CVE-2024-21893 в продуктах Ivanti для получения доступа к системам и установки вредоносного софта.
CVE-2024-21893 представляет собой “подделку запроса со стороны сервера” (SSRF). Она присутствует в компоненте SAML продуктов компании Ivanti – Connect Secure, Policy Secure и Neurons for ZTA. В ходе атак злоумышленники нацеливались на ограниченное число устройств.
Для проникновения в сети компаний хакеры комбинировали эту уязвимость с другой (CVE-2024-21887), чтобы скрытно обойти механизмы защиты. Затем были задействованы легитимные компоненты для загрузки вредоносных программ, позволяющих удаленно управлять зараженными компьютерами, красть данные и туннелировать трафик.
Группировка UNC3886 ранее использовала похожие методы, эксплуатируя 0-day уязвимости в ПО Fortinet и VMware для атак на организации в США и Азиатско-Тихоокеанском регионе.
Купи VPN для России через Телеграмм – легко и быстро:
|
Как показал анализ Mandiant, UNC5325 демонстрирует глубокие знания продуктов Ivanti и умело маскирует свою деятельность. Злоумышленники активно применяют тактику “жизнь за счет земли” (LotL или LOTL), внедряя вредоносные модули в легитимные инструменты.
Хакеры пытались закрепиться во взломанных сетях, но пока эти попытки провалились из-за ошибок в коде зловредного ПО.
Использовался вредоносный плагин PITFUEL для загрузки программы LITTLELAMB.WOOLTEA, которая может сохранять присутствие в системе после обновлений, патчей и сброса к заводским настройкам.
Однако в LITTLELAMB.WOOLTEA не была предусмотрена логика для обработки несовпадения ключей шифрования. Другой плагин PITDOG применяется для инжектирования программы PITHOOK, которая также предназначена для постоянного присутствия.
Компаниям рекомендуют регулярно обновлять сетевое ПО и использовать надежные средства безопасности, чтобы вовремя выявлять подозрительную активность, в том числе связанную с группировками UNC5325 и UNC3886.
Приватность — это право, а не роскошь.
Подпишитесь на наш канал и защитите свои права
Купить экспресс VPN означает приобретение услуги виртуальной частной сети (VPN), которая предлагает высокую скорость соединения и надежную защиту данных. Экспресс VPN (или ExpressVPN) — это конкретный бренд, известный своим качеством и производительностью, но термин также может использоваться для обозначения любых VPN-сервисов, которые акцентируют внимание на быстрой работе.
Экспресс VPN помогает защитить ваши данные от слежки, что особенно важно при использовании общественных Wi-Fi сетей.
Экспресс VPN позволяет обойти географические блокировки, что дает возможность получать доступ к сайтам и сервисам, недоступным в вашем регионе.
Купить экспресс VPN — это решение для тех, кто ищет быстрый и надежный способ обеспечить безопасность и конфиденциальность в интернете. Такой сервис поможет вам защитить ваши данные, обеспечить высокую скорость соединения и получить доступ к контенту, заблокированному в вашем регионе. Выбирая экспресс VPN, вы делаете инвестицию в свой онлайн-комфорт и безопасность.
