APT35 — неожиданная угроза: как мы обнаружили иранских хакеров в инфраструктурах нескольких компаний / Comments / Habr

saipr Dec 28 2022 at 10:32

Вы уверенно заявляете

как мы обнаружили иранских хакеров в инфраструктурах нескольких компаний

И вдруг в тексте используете выражения тина "скорее всего", "схожи" и т.д.:

С мая 2022 года мы столкнулись с двумя кейсами, где атакующие используют уязвимость Microsoft Exchange ProxyShell для первоначального доступа и размещения веб-шеллов. Скорее всего, атака связана с группой APT35 (иранская группировка, спонсируемая государством). К такому выводу мы пришли, проанализировав тактики и техники, приписываемые группе. Также некоторые обнаруженные индикаторы схожи с теми, что атрибутированы группе.

Строить на таких догадках обвинения несерьёзно.
Если вы обнаружили уязвимость Microsoft Exchange ProxyShell, то честь вам и хвала. Пишите о ней, а обвинять по принципу "мне так кажется" несолидно. Так можно обвинить любого.

zartdinov Dec 28 2022 at 10:48

Всегда думал, что хакеры первым делом раскидывают злобные комментарии на других языках)

rezedent12 Dec 28 2022 at 12:09

Смотря какие. Многими хакерами движет тщеславие.

Lazhu Dec 28 2022 at 11:46

Сталкивался недавно с подобным. Доступ к домену через exchange, создание админской учетки, шифрование всего, до чего можно было добраться с КД. Соблюдайте просты правила безопасности - бэкапы, бэкапы и еще раз бэкапы. С бэкап-софтом, установленным на отдельной машине, и собирающим по сети все, что необходимо бэкапить - никак не наоборот. И будет вам щасстье.