В Азербайджане проверили информацию о кибератаке на нефтегазовую компанию

Центр по борьбе с компьютерными инцидентами Азербайджана выполнил разведку и технические исследования в связи с распространившейся информацией о том, что группа APT (Advanced Persistent Threat) под названием FamousSparrow (по утверждениям, связанная с Китаем) осуществила многоэтапную кибератаку против одной из компаний нефтегазового сектора Азербайджана.

Как сообщили Caliber.Az в ведомстве, согласно информации, злоумышленники получили первоначальный доступ, использовав уязвимости ProxyShell и ProxyNotShell на платформе Microsoft Exchange Server, после чего разместили в системе web shell для обеспечения постоянного доступа. На последующих этапах с помощью техники DLL sideloading были задействованы вредоносные программы Deed RAT и TernDoor.

Однако в ходе детального анализа в сегменте AzStateNet каких-либо следов активности FamousSparrow обнаружено не было. Были проверены хеш файлы, домены, URL-адреса и другие индикаторы компрометации, связанные с вектором атаки, по доменным индикаторам в сети AzStateNet выполнены соответствующие запросы. В результате на основе технических индикаторов атаки реализованы превентивные меры блокировки и применены ограничения через системы безопасности.

Центр по борьбе с компьютерными инцидентами рекомендовал государственным органам расследовать подозрительные outbound-соединения и аномальную активность, при выявлении признаков компрометации оперативно информировать соответствующие структуры, проводить проверки по доменам sentinelonepro[.]com:443 и virusblocker[.]it[.]com:443, вести ретроспективный и текущий мониторинг IOC-индикаторов, выполнять дополнительный анализ инфраструктуры Microsoft Exchange и записей аутентификации.