Комментарии 4
Вы уверенно заявляете
как мы обнаружили иранских хакеров в инфраструктурах нескольких компаний
И вдруг в тексте используете выражения тина "скорее всего", "схожи" и т.д.:
С мая 2022 года мы столкнулись с двумя кейсами, где атакующие используют уязвимость Microsoft Exchange ProxyShell для первоначального доступа и размещения веб-шеллов. Скорее всего, атака связана с группой APT35 (иранская группировка, спонсируемая государством). К такому выводу мы пришли, проанализировав тактики и техники, приписываемые группе. Также некоторые обнаруженные индикаторы схожи с теми, что атрибутированы группе.
Строить на таких догадках обвинения несерьёзно.
Если вы обнаружили уязвимость Microsoft Exchange ProxyShell, то честь вам и хвала. Пишите о ней, а обвинять по принципу "мне так кажется" несолидно. Так можно обвинить любого.
Сталкивался недавно с подобным. Доступ к домену через exchange, создание админской учетки, шифрование всего, до чего можно было добраться с КД. Соблюдайте просты правила безопасности - бэкапы, бэкапы и еще раз бэкапы. С бэкап-софтом, установленным на отдельной машине, и собирающим по сети все, что необходимо бэкапить - никак не наоборот. И будет вам щасстье.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
APT35 — неожиданная угроза: как мы обнаружили иранских хакеров в инфраструктурах нескольких компаний