В России была зафиксирована новая атака азиатской высокоорганизованной хакерской группировки Obstinate Mogwai, целью которой были конфиденциальные данные. Их злоумышленники пытались похитить с помощью взломанных учетных записей. Об этом «Газете.Ru» сообщили в пресс-службе компании «Солар».
Благодаря системе контроля привилегированных пользователей Solar SafeInspect, установленной в атакованной организации, действия хакеров были зафиксированы на видео. Это значительно сократило время расследования и позволило получить дополнительные сведения об используемых злоумышленниками техниках.
Первые признаки атаки были зафиксированы службой мониторинга Solar JSOC. Система обнаружила запросы к веб-ресурсу с индикатором компрометации, который уже находился в базе Solar 4RAYS. Злоумышленники скомпрометировали инфраструктуру подрядчика и использовали его привилегированные учетные записи для доступа к сети жертвы, включая терминальные серверы с системами электронного документооборота.
Система класса Privileged Access Management (PAM) - Solar SafeInspect, развернутая у заказчика, позволила отслеживать активность привилегированных учетных записей и автоматически вести запись экрана с их сессиями. Благодаря этим записям удалось выяснить, что атакующие интересовались конфиденциальными документами, связанными со странами Азиатского региона.
Это не первый случай, когда исследователи сталкиваются с группировкой Obstinate Mogwai. С 2023 года с этой группой были связаны четыре расследования, проведенных Solar 4RAYS, но не исключено, что жертв у группировки значительно больше. Основная цель злоумышленников — кибершпионаж, а жертвы — российские госструктуры, ИТ-компании и их подрядчики.
Ранее выяснилось, что инфраструктура ГАС «Правосудие» могла быть поражена вирусом-шифровальщиком.