На eGov совершена кибератака
Злоумышленники получили доступ к загрузке файлов на сайт и опубликовали под видом офисных документов вредоносное программное обеспечение.
На портале электронного правительства было обнаружено вредоносное программное обеспечение, которое относится к так называемому семейству «Razy». Образцы Razy представляют собой троян-загрузчик, маскирующийся под офисный документ (word, excel и Adobe PDF) для заражения пользователей. Зачастую злоумышленники распространяют Razy, используя способ, при котором вредоносное ПО располагается на официальных сайтах. Таким образом киберпреступники добиваются эффекта доверия со стороны потенциальной жертвы.
Отечественная антивирусная компания T& T Security совместно с АО «Холдинг „Зерде“» разобрала несколько кейсов, но особенного внимания заслуживают два кейса, которые распространялись методом «атаки на водопое» (watering hole attack) через портал электронного правительства eGov.
Злоумышленники получили доступ к загрузке файлов на сайт и опубликовали под видом офисных документов вредоносное программное обеспечение. Первый документ представлял собой постановление районного акимата, а второй — финансовую сводку по бюджету акимата. Это означает, что злоумышленники занимаются поиском подходящих для жертв документов и последующим их встраиванием в конечный вредоносный файл.
Команда T& T Security совместно с сотрудниками Холдинга «Зерде» оперативно отработали инциденты, локализовали и блокировали вредоносный контент, используя систему tLab. На момент публикации центр управления данных ВПО (C& C сервер) уже был отключен, то есть, на данный момент эти объекты не могут загрузить дополнительный вредоносный функционал.
Система tLab успешно обнаруживает и блокирует угрозу. Она работает по принципу нулевого доверия, опираясь на глубокий поведенческий анализ. А высокая пропускная способность позволяет анализировать десятки тысяч файлов в день без фильтров и белых списков, что эффективно блокирует даже угрозы, использующие «атаку на водопое». Система tLab является передовым продуктом по защите от киберугроз нового типа, против которых типичный антивирус малоэффективен.
«Стоит отметить, что tLab используется в составе системы „Киберщит“, а значит можно с уверенностью сказать, что государство готово к отражению подобных угроз», — заявили в пресс-службе АО «Национальный инфокоммуникационный Холдинг „Зерде“».
Подробно об анализе угрозы watering hole можно узнать по ссылке.