Sophos avslører hvordan hackere gjentatte ganger angrep selskapets systemer. Trusselaktør utnytter skjult nettverk for å utføre passordspray-angrep.
Sophos avslører hvordan hackere gjentatte ganger angrep selskapets systemer
Det britiske cybersikkerhetsselskapet Sophos har dokumentert en langvarig konflikt mellom firmaet og kinesiske statsstøttede hackere, som har angrepet deres systemer fra 2018. Angrepene inkluderte blant annet et vellykket hackerangrep på Sophos' kontor i India, hvor hackerne fikk initiell tilgang via en veggmontert skjerm.
Hackerne benyttet avanserte teknikker som SQL-injeksjon, kommandoinjeksjon, et brukerland-rootkit kalt TERMITE, trojanske Java-filer og et unikt UEFI-bootkit. Sophos svarte ved å distribuere egne etterretningsimplantater gjennom sine systemer for å overvåke hackernes verktøy, bevegelser og taktikker. De samarbeidet også med Nederlands nasjonale cybersikkerhetssenter for å beslaglegge servere som var vertskap for angriperdomener.
Trusselaktør utnytter skjult nettverk for å utføre passordspray-angrep
Microsoft har fulgt med på trusselaktøren kalt Storm-0940, som benytter et nettverk av kompromitterte små kontor- og hjemmerutere (kalt CovertNetwork-1658) til å gjennomføre passordspray-angrep. Nettverket består hovedsakelig av TP-Link rutere som er hacket ved å utnytte en ukjent sårbarhet, og som muliggjør kjøring av angripers kode.
Trusselaktøren gjennomfører lavvolum passordsprayeangrep, med gjennomsnittlig bare ett påloggingsforsøk per konto per dag, noe som gjør angrepene vanskelige å oppdage. Etter at sikkerhetsleverandører som Sekoia og Team Cymru rapporterte om nettverket i juli og august 2024, har bruken av den opprinnelige infrastrukturen gått kraftig ned. Microsoft mener at trusselaktøren sannsynligvis arbeider med å skaffe ny infrastruktur som ikke lar seg så lett kjenne igjen. Angrepene retter seg primært mot organisasjoner i Nord-Amerika og Europa innenfor sektorer som tenketanker, myndigheter, lov- og forsvarsindustrien.
Les hele rapporten for oversikt over TTPer og råd for å beskytte seg mot denne typen angrep.
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.