Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
Через зараженный ноутбук преступникам удалось скомпрометировать всю инфраструктуру и получить доступ к десяткам систем.
Корпоративные ноутбуки и другие устройства, которые используются сотрудниками компаний за пределами офиса, могут стать средством злоумышленников для компрометации всей корпоративной инфраструктуры. Один из таких случаев описали специалисты компании Crowdstrike в своем отчете Cyber Intrusion Services Casebook 2018. Исследователи не привели название пострадавшей компании, охарактеризовав ее лишь как «производителя одежды с магазинами по всему миру». Все началось с того, что сотрудник фирмы взял корпоративный ноутбук с собой в кофейню и открыл на нем сайт одного из партнеров компании, на который его привело фишинговое письмо. Как выяснилось позже, на ресурсе содержалось вредоносное ПО FakeUpdates, распространявшееся в ходе масштабной кампании, затронувшей тысячи сайтов на Joomla и WordPress. В данном случае FakeUpdates загрузило на ноутбук банковский троян Dridex и набор инструментов PowerShell Empire, которые остались незамеченными установленным антивирусом, поскольку он полагался на корпоративную сеть для обнаружения угроз. В результате вредоносное ПО было выявлено только по возвращении в офис, но к тому времени злоумышленники уже проникли в сеть.
Через зараженный ноутбук преступникам удалось скомпрометировать всю инфраструктуру и получить доступ к десяткам систем с помощью эксплоита PowerShell. Используя утилиту Mimikatz, атакующие смогли собрать учетные данные, получить доступ к серверам, в том числе к серверам розничных магазинов, и установить PoS-вредонос Framework, предназначенный для кражи данных кредитных карт.
По данным исследователей, организатором атаки являлась группировка Indrik Spider. Вредоносная кампания активна с 2014 года и тесно связана с операциями по распространению трояна Dridex и вымогательского ПО BitPaymer, которые, как полагают эксперты, принесли своим операторам миллионы долларов.
Использование FakeUpdates свидетельствует о том, что Indrik Spider расширяет сферу деятельности и продолжает изыскивать новые способы заработка. Специалисты Crowdstrike не раскрыли, насколько успешной оказалась кампания, и удалось ли киберпреступникам украсть какие-либо данные.