Новости ESET под атакой: детали предполагаемого взлома

NewsMaker

I'm just a script
Премиум
13,850
20
8 Ноя 2022
Новая кампания с вайпером затронула ИБ-специалистов в Израиле.


d5rzybnxzxhd3e1i0ri5fsqoa18qmt0m.jpg


ESET опровергла обвинения в компрометации своих систем после того, как ИБ-специалист Кевин Бомонт рассказал о кампании с вайпером, которая выглядела как операция, проведённая с использованием инфраструктуры ESET.

Согласно Для просмотра ссылки Войди или Зарегистрируйся Бомонта, один из сотрудников израильской компании стал жертвой вредоносной программы после того, как открыл ссылку в письме, якобы отправленном командой ESET Advanced Threat Defense в Израиле. Письмо успешно прошло проверку DKIM и SPF для домена ESET, однако Google Workspace Для просмотра ссылки Войди или Зарегистрируйся его как опасное.

Атака была зафиксирована 8 октября и нацелена на ИБ-специалистов в Израиле. Вредоносный файл распространялся через серверы ESET, при этом получатели были предупреждены, что атака проводится «поддерживаемым государством» злоумышленником. Жертвам также предлагалось принять участие в программе ESET Unleashed, которая на самом деле не существует как отдельная инициатива, хотя упоминалась в брендинге компании.

Исследователь обнаружил в загружаемом файле несколько DLL-библиотек ESET и вредоносный setup.exe. Бомонт охарактеризовал программу как поддельный вирус-вымогатель, имитирующий работу известного вредоноса Для просмотра ссылки Войди или Зарегистрируйся Бомонт также отметил, что файлы на устройствах восстановить невозможно, поскольку это вайпер .

В ходе исполнения вредонос также обращался к организации, связанной с днём Iron Swords War, приуроченным к памяти жертв атаки 7 октября 2023 года. Факты наводят на мысль о возможной причастности хактивистов.

ESET опровергла Для просмотра ссылки Войди или Зарегистрируйся Бомонта о взломе израильского офиса компании. Компания подчеркнула, что инцидент затронул партнёрскую организацию в Израиле, а вредоносная кампания была заблокирована в течение 10 минут. ESET Для просмотра ссылки Войди или Зарегистрируйся что успешно блокирует угрозу, и клиенты находятся в безопасности. Компания также подтвердила, что работает с партнёром над расследованием и продолжает мониторинг ситуации.

Источник вредоносной активности пока не установлен, но методы, применённые в атаке, схожи с тактикой пропалестинской группы Handala. Исследователи из Trellix ранее сообщали, что Handala Для просмотра ссылки Войди или Зарегистрируйся для атак на израильские организации, отметив сотни инцидентов за несколько недель в июле.
 
Источник новости
www.securitylab.ru

Похожие темы