Департамент информационной безопасности сообщил, что в ходе мониторинга информационной безопасности в киберпространстве Национальный центр мониторинга кибербезопасности (NCSC) обнаружил и зафиксировал информацию, связанную с кампанией кибератак, проводимой APT-группой MiroFace.

Известно, что APT MirrorFace нацелена на финансовые учреждения, научно-исследовательские институты и производителей. Соответственно, атакующая группа использовала уязвимости информационной безопасности программных продуктов Array AG и FortiGate для распространения вредоносного ПО NOOPDOOR.

По словам экспертов, вредоносная программа NOOPDOOR устанавливается в легитимные приложения системы в двух вариантах в виде файлов «.XML» и «.DLL». Оба варианта позволяют злоумышленникам устанавливать соединения через порты 443 и 47000 для загрузки файлов и выполнения команд.

После распространения вредоносного ПО злоумышленники осуществили незаконные действия, такие как доступ к хранилищу аутентификационной информации сетевой системы, распространение вредоносного ПО на другие устройства в локальной сети, мониторинг и извлечение информации о пользователях.

Кроме того, злоумышленники также предприняли шаги, чтобы избежать обнаружения, такие как: редактирование временных меток, добавление правил в системный брандмауэр, чтобы вредоносное ПО могло подключаться к определенным портам, скрытие включенных служб...

Департамент информационной безопасности рекомендует организациям и предприятиям по всей стране проводить проверки и обзоры используемых информационных систем, которые могут быть затронуты кампанией атак, запущенной группой APT MirrorFace. В то же время активно отслеживайте информацию, связанную с этой кампанией атак, чтобы предотвратить и избежать риска подвергнуться атаке.

В то же время организациям также рекомендуется усилить мониторинг и подготовить планы реагирования при обнаружении признаков эксплуатации и кибератак.

Кроме того, подразделениям также необходимо отслеживать информацию для оперативного обнаружения риска кибератак. При необходимости поддержки подразделение может связаться с Национальным центром мониторинга кибербезопасности по телефону 02432091616 или по электронной почте [email protected].