Киберпреступники находят лазейки в защите правительств.
Кибершпионская группировка TAG-100 провела масштабную атаку на государственные и частные организации по всему миру, используя устройства с доступом в интернет и бэкдор Pantegana. Среди пострадавших оказались две межправительственные организации Азиатско-Тихоокеанского региона и несколько дипломатических и торговых структур.
Эксперты Insikt Group обнаружили кампанию, подчеркнув, что TAG-100 использует возможности удаленного доступа, предоставляемые открытым ПО, а также эксплуатирует различные интернет-устройства для получения первоначального доступа. Подобная активность демонстрирует растущую тенденцию кибершпионажа с применением open-source инструментов, что упрощает деятельность даже для менее опытных злоумышленников и снижает потребность в разработке уникальных решений.
В результате атаки пострадали организации в как минимум 10 странах, включая Африку, Азию, Северную и Южную Америку, а также Океанию. Группа использовали Golang-инструменты Pantegana и SparkRAT после проникновения:
Среди целевых устройств оказались продукты Citrix NetScaler, F5 BIG-IP, Zimbra, Microsoft Exchange, SonicWall, Cisco ASA, Palo Alto Networks GlobalProtect и Fortinet FortiGate. Особую озабоченность вызывает эксплуатация уязвимостей устройств, имеющих доступ к интернету, так как они имеют ограниченные возможности для обнаружения и ведения логов. Это уменьшает вероятность выявления атак после их совершения и ставит организации под угрозу простоев, ущерба репутации и штрафов.
В отчете выделяется уязвимость внедрения команд CVE-2024-3400 (оценка CVSS: 10.0) в Palo Alto Networks GlobalProtect, которая из-за ошибки в создании произвольного файла в функции GlobalProtect позволяет неаутентифицированному злоумышленнику выполнить произвольный код с root-привилегиями в брандмауэре. Ошибка использовалась для атак на устройства, в основном базирующихся в США, которые относятся к различным отраслям, включая образование, финансы и госсструктуры.
Организации должны принимать меры для защиты своих систем от подобных атак. Рекомендуется настроить системы обнаружения и предотвращения вторжений для блокировки подозрительных IP-адресов и доменов, обеспечить мониторинг всех внешне доступных сервисов и устройств, приоритизировать установку исправлений для уязвимостей, особенно тех, что уже активно эксплуатируются, а также внедрить сегментацию сети и многофакторную аутентификацию.
Живой, мертвый или в суперпозиции? Узнайте в нашем канале