Xakep #305. Многошаговые SQL-инъекции
Компания Microsoft заявила, что хак-группа Nobelium (она же APT 29, Cozy Bear или The Dukes) по-прежнему осуществляет атаки на цепочку поставок в ИТ. По информации специалистов, с мая 2021 года было атаковано 140 поставщиков управляемых услуг (MSP) и облачных услуг, и взломаны как минимум 14 из них.
Напомню, что, по мнению специалистов, Nobelium связана с российским правительством, и именной ее называют ответственной за прошлогодний взлом компании SolarWinds, который стал одной из наиболее масштабных атак на цепочку поставок в истории.
Эксперты Microsoft говорят, что все обнаруженные теперь атаки были частью хорошо спланированной кампании, которая началась в мае текущего года. Как правило хакеры полагались на направленный фишинг и брутфорс, нацеливалась на сотрудников компаний-реселлеров и поставщики технологических услуг, которые управляют ИТ и облачной инфраструктурой от имени своих клиентов.
«Мы полагаем, что Nobelium в конечном итоге надеется использовать любой прямой доступ, который реселлеры могут иметь к ИТ-системам своих клиентов, чтобы легко выдать себя за надежного технологического партнера организации и получить доступ к клиентам, находящимся ниже по цепочке, — гласит отчет Microsoft — Эти атаки были частью более широкой активности Nobelium этим летом. Фактически, с 1 июля по 19 октября текущего года мы проинформировали 609 клиентов о том, что они подвергались атакам со стороны Nobelium 22 868 раз (с низким уровнем успешности). Для сравнения, за последние три года мы уведомляли клиентов об атаках со стороны любых “правительственных хакеров” 20 500 раз».
Индикаторы компрометации уже доступны в отчете компании.