Злоумышленники крадут деньги и данные через уязвимость в корпоративном VPN

Злоумышленники крадут деньги и данные через уязвимость в корпоративном VPN

Преступники пытались вывести десятки миллионов долларов.

image

Финансовые и телекоммуникационные компании в Восточной Европе и Средней Азии подверглись серии кибератак, целью которых было хищение средств или финансовых данных. Как сообщили в «Лаборатории Касперского», из каждой финорганизации преступники пытались вывести по несколько миллионов долларов, а в корпоративных сетях телекомкомпаний их интересовали данные для доступа к финансовым сведениям.

Все атаки объединял ряд общих факторов, в частности, используемая техника и единая точка входа - корпоративные VPN-решения, установленные во всех пострадавших компаниях. Для достижения цели преступники использовали уязвимость CVE-2019-11510 (затрагивает ПО Pulse Secure Pulse Connect Secure), которая позволяет неавторизованному атакующему прочитать произвольные файлы с помощью специально сформированного URI.

Инструменты для эксплуатации данной уязвимости свободно доступны в интернете, с их помощью злоумышленники могут получить учетные данные для учетных записей администратора в корпоративной сети и, соответственно, доступ к ценной информации.

Изучив используемые тактики и техники, эксперты пришли к выводу, что организаторами атак, скорее всего, являются русскоязычные злоумышленники. В прошлом данная уязвимость уже была задействована в кампаниях различный киберпреступных группировок. К примеру, в августе нынешнего года были зафиксированы попытки эксплуатации уязвимостей в VPN-решениях от компаний Fortinet и Pulse Secure, а месяцем позднее теми же уязвимостями пыталась воспользоваться китайская проправительственная группировка APT5 (Manganese) для взлома телекоммуникационных и технологических компаний.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.