Villámgyors kibertámadás: öt perc alatt kompromittálták a vállalati rendszert

enlightened Ez az oldal a közösségért készül. heart Kövess minket máshol is:  Linux Mint Magyar Közösség a Mastodon-on  Telegram csatorna – csak hírek  Beszélgessünk a Telegram – Linux csevegő csoport  Hírek olvasása RSS segítségével  Linux Mint Hivatalos Magyar Közösség a Facebook-on      Linux Mint Baráti Kör a Facebook-on
wink Ha hasznosnak találod, és szeretnéd, hogy folytatódjon, támogasd a munkát Ko-fi vagy Paypal segítségével. laugh

kami911 képe
Beküldte kami911 -

Egy közelmúltbeli biztonsági incidens vizsgálata során az NCC Group digitális kriminalisztikai és incidenskezelési (DFIR) csapata egy rendkívül gyors és kifinomult social engineering támadásra hívta fel a figyelmet, amely során a támadók kevesebb mint öt perc alatt vették át az irányítást egy vállalati hálózat felett. A támadás kiindulópontja az volt, hogy az elkövetők IT-támogatónak adták ki magukat, és célzottan körülbelül húsz alkalmazottat kerestek meg. Két felhasználót sikerült is megtéveszteniük: ők engedélyezték a távoli hozzáférést a munkaállomásaikhoz a Windows beépített QuickAssist nevű távoli támogatási eszközén keresztül.

Miután a támadók hozzáférést kaptak, rendkívüli gyorsasággal és precizitással kezdtek tevékenykedni. PowerShell parancsokat futtattak, amelyekkel rosszindulatú programokat töltöttek le, például rendszergazdai eszközként álcázott fájlokat, köztük egy rejtett kártékony JPEG-képet is. A NetSupport Manager nevű, legitim adminisztrációs szoftvert is telepítették, amelyet ezúttal jogosulatlan hozzáférésre használtak fel.

A támadók rejtett könyvtárstruktúrát hoztak létre az application data mappában, és a malware-hez automatikus indítást konfiguráltak a rendszer újraindítása esetére. Többféle mechanizmust alkalmaztak: registry bejegyzések, időzített feladatok, valamint hitelesítési adatok ellopására szolgáló hamis bejelentkező ablakok is részei voltak a támadásnak.

Különösen aggasztó, hogy a támadók teljes mértékben legitim eszközöket használtak – például a QuickAssist-ot – amely jelentősen megnehezíti a támadás észlelését.

A szakértők arra figyelmeztetnek, hogy az emberi tényező továbbra is a leggyengébb láncszem az információbiztonságban. Az ilyen támadások megelőzésére elengedhetetlen a többlépcsős hitelesítés használata, a munkatársak rendszeres kiberbiztonsági képzése, valamint fejlett végpontvédelmi rendszerek alkalmazása, amelyek képesek azonosítani a gyanús PowerShell-tevékenységet és a nem hivatalos távoli hozzáférést biztosító eszközöket.

Ez az eset is jól mutatja: a modern kibertámadások nem napok, hanem percek alatt történnek és súlyos következményekkel járhatnak.

(forrás, forrás)