Кибергруппировка Holmium атакует промышленные и оборонные предприятия

Кибергруппировка Holmium атакует промышленные и оборонные предприятия
7723e88759b2ed926c16edecb4d41b7a.jpg

Понимание структуры атаки и методик злоумышленников (TTP) является одним из важнейших знаний для организации качественной защиты своих активов. Поэтому мы считаем полезным знакомить наших читателей с появляющейся информацией о подробностях работы той или иной киберпреступной группировки и их инструментах.
Не так давно эксперты компании Microsoft поделились информацией о наблюдаемых с 2015 года хакерах группировки Holmium.  В основном их деятельность направлена (но не ограничивается) на атаки промышленных (химических, аэрокосмических, добывающих и др.) и оборонных предприятий. Особенностью этой группировки является успешное использование атак на облачные и гибридные среды. Пересекающиеся методы упоминаются у других ИБ-аналитиков под названиями APT33, StoneDrill, Elfin. Что, возможно, указывает на одну группу хакеров под различными кодовыми именами.
Holmium использует разнообразные векторы атак, в том числе наиболее часто для первичного проникновения:
  • Фишинговые письма с зараженными архивами (WinRAR), часто использующими уязвимость winRAR CVE-2018-20250.
  • Password-spraying – методика брут-форса, основанная на переборе не очень большого пула простых паролей, но на большом пуле учетных записей, с расчетом на то, что кто-то из пользователей выставил слабый пароль. Чаще всего атака нацелена на облачные сервисы (например, Office365) или инфраструктуру AD, где не используется многофакторная аутентификация (MFA).
  • Утилита тестирования на проникновение Ruler для создания фейкового интерфейса Outlook Home Page (включая Office365) и эксплуатация уязвимости CVE-2017-11774 для компрометации учетных записей к Exchange-серверу.
В результате успешной эксплуатации этих действий хакеры могут уже иметь PowerShell бэкдор в инфраструктуре (их вариант называется Powerton) с правами процесса Outlook. После чего они могут скачать и установить любую полезную нагрузку. Далее злоумышленники методично изучают учетные записи, внутреннюю сеть заказчика и распространяются в ней. Этот процесс может занимать у Holmium многие часы, но, как правило, уже менее чем через неделю эти хакеры имеют полные права в домене и полностью закрепляются в инфраструктуре.
Полный типовой таймлайн атак HOLMIUM:
d086d86f2e335c6bc6467b774c5d3eb0.png

Рекомендации экспертов группы компаний Angara
Каждая атака – это совокупность множества механизмов. Соответственно и защита выстраивается множественными эшелонами, включая:
  1. Обязательную своевременную установку обновлений безопасности, особенно критических и перечисленных в тексте.
  2. Использование многофакторной аутентификации (MFA).
  3. Использование центра мониторинга событий (SOC) с сервисами Threat Intelligence для ловли индикаторов компрометации и уже закрепившихся в сети хакеров. Необходимо также анализировать события из облачных сред.
  4. Использование стандартных механизмов защиты периметра (NGFW, WAF, защиты почты и т. д.).
  5. Использование систем анализа трафика внутри сетевого периметра на основе поведенческого анализа для фиксации горизонтального распространения.
Alt text

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!

Angara Technologies Group

Корпоративный блог компании Angara Technologies Group