Действия хакеров сняли на видео: эксперты Solar 4RAYS обнаружили новую атаку азиатской прогосударственной APT-группировки Obstinate Mogwai на российское ведомство
Похитить конфиденциальные данные атакующие пытались с помощью взломанных учетных записей. Вредоносное ПО при этом не использовалось. Благодаря системе контроля привилегированных пользователей Solar SafeInspect, установленной в атакованной организации, действия хакеров попали на видео.
Первые признаки атаки были зафиксированы Solar JSOC. Система обнаружила запросы к веб-ресурсу с индикатора компрометации, который уже находился в базе Solar 4RAYS. Как оказалось, злоумышленники скомпрометировали инфраструктуру подрядчика, а дальше использовали его привилегированные учетные записи, имеющие доступ к терминальным серверам, где были развернуты системы электронного документооборота.
Solar SafeInspect позволяет отслеживать активность привилегированных учетных записей и автоматически ведет запись экрана с их сессиями. Благодаря этим записям удалось выяснить, что Obstinate Mogwai интересовали конфиденциальные документы, связанные со странами Азиатского региона. Атакующие постранично просматривали открываемые документы и делали паузы на несколько секунд — очевидно, в этот момент они делали скриншоты экрана.
Источник: Solar
