Carding 4 Carders
Professional
Группа реагирования на компьютерные чрезвычайные ситуации Украины (CERT-UA) выявила, что субъекты угрозы "вмешивались" по меньшей мере в работу 11 поставщиков телекоммуникационных услуг в стране в период с мая по сентябрь 2023 года.
Агентство отслеживает активность под именем UAC-0165, заявляя, что вторжения привели к перебоям в обслуживании клиентов.
Отправной точкой атак является этап разведки, на котором сеть телекоммуникационной компании сканируется для выявления незащищенных интерфейсов RDP или SSH и потенциальных точек входа.
"Следует отметить, что разведывательные и эксплуатационные действия осуществляются с ранее скомпрометированных серверов, расположенных, в частности, в украинском сегменте интернета", - заявили в CERT-UA.
"Для маршрутизации трафика через такие узлы используются Dante, SOCKS5 и другие прокси-серверы".
Атаки примечательны использованием двух специализированных программ под названием POEMGATE и POSEIDON, которые позволяют красть учетные данные и удаленно управлять зараженными хостами. Для того, чтобы стереть судебный след, запускается утилита под названием WHITECAT.
Более того, постоянный несанкционированный доступ к инфраструктуре провайдера осуществляется с использованием обычных учетных записей VPN, которые не защищены многофакторной аутентификацией.
За успешным взломом следуют попытки вывести из строя сетевое и серверное оборудование, в частности оборудование Mikrotik, а также системы хранения данных.
Развитие событий произошло после того, как агентство заявило, что наблюдало четыре волны фишинга, осуществленные хакерской группой, которую оно отслеживает как UAC-0006 group, использующей вредоносную программу SmokeLoader в течение первой недели октября 2023 года.
"Для отправки электронных писем используются законные скомпрометированные адреса электронной почты, а SmokeLoader доставляется на компьютеры несколькими способами", - сказали в CERT-UA.
"Целью злоумышленников является атака на компьютеры бухгалтеров с целью кражи аутентификационных данных (логин, пароль, ключ / сертификат) и / или изменения реквизитов финансовых документов в системах дистанционного банковского обслуживания с целью отправки несанкционированных платежей".
