Согласно предупреждению Агентства по кибербезопасности и защите инфраструктуры США ( CISA ), Агентства национальной безопасности ( АНБ ) и ФБР , злоумышленники нацелились на крупные телекоммуникационные компании и поставщиков сетевых услуг, используя набор эксплойтов для известных уязвимостей в различных маршрутизаторах, VPN и другом сетевом оборудовании, а также сетевых устройствах накопителях ( NAS ).
Сетевые устройства используются в качестве дополнительных точек доступа для маршрутизации C&C-трафика и являются промежуточными пунктами для осуществления сетевых вторжений в другие организации, говорится в предупреждении, и все это с целью кражи конфиденциальной информации.
“Обычно хакеры осуществляют свои вторжения с помощью доступа к взломанным серверам, называемым точками входа. Атаки проводятся с многочисленных IP-адресов, которые расположены в Китае и привязаны к различным китайским интернет-провайдерам», – отметили федеральные власти . «Злоумышленники обычно арендуют серверы у различных провайдеров. Затем они используют арендованные серверы для создания и использования ящиков электронной почты, размещения C&C-доменов и взаимодействия с сетями жертв. Также хакеры используют точки доступа для маскировки. Группировки отслеживают учетные записи и действия ИБ-специалистов, а затем изменяют текущую кампанию по мере необходимости, чтобы остаться незамеченными».
Специалисты отметили, что злоумышленники часто смешивают свой уникальный набор инструментов с общедоступными инструментами, тем самым скрывая свою деятельность.
Чтобы избежать подобных атак, эксперты рекомендуют пользователям регулярно применять доступные исправления, отключать ненужные порты/протоколы и заменять устаревшую инфраструктуру.
Источник: SecurityLab