PT X предотвратил APT-атаку на российскую компанию К взлому причастна хакерская группировка PhantomCore — на момент обнаружения злоумышленники уже две недели находились внутри сети. Рассказываем, как развивались события 1⃣ В январе, на этапе инсталляции PT X, была выявлена нетипичная активность на защищаемых с применением MaxPatrol EDR хостах. 2⃣ Уже через 15 минут клиент получил рекомендацию заблокировать доменную (с наивысшими привилегиями) учетную запись подозрительного администратора. Вскоре инцидент был подтвержден — команда клиента и специалисты PT X приступили к локализации и сдерживанию атаки. 3⃣ Параллельно к расследованию подключилась команда PT ESC IR. Эксперты провели атрибуцию и установили, что за атакой стоит группировка PhantomCore — она уже несколько лет атакует российские организации в сферах госуправления, судостроения, добывающей промышленности и ИТ. Основной мотив — кибершпионаж. 4⃣ Точкой входа в инфраструктуру стала уязвимость в платформе видео-конференц-связи. 5⃣ Расследование и локализация инцидента заняли несколько дней. Параллельно продолжалось внедрение PT X, команда помогала усиливать защиту компании. За сутки удалось лишить злоумышленников доступа к инфраструктуре. 🕵 Что показало расследование: злоумышленники воспользовались недостатками защиты инфраструктуры, запустили вредоносное ПО с управляющего сервера и получили пароли доменного администратора. Слабое сетевое сегментирование и отсутствие разделения привилегий позволили им развивать атаку внутри сети с помощью утилиты atexec.py. В числе скомпрометированных активов оказались один из контроллеров домена и служба сертификации Active Directory. До момента обнаружения атакующие оставались незамеченными в течение двух недель — до того, как скомпрометированные хосты попали под защиту PT X. 😎 Что по итогу: наши эксперты не только успели вовремя остановить атаку (до нанесения существенного ущерба), но и дали рекомендации по усилению безопасности ИТ-инфраструктуры, чтобы снизить риск повторения подобных инцидентов. В нашей практике часто встречаются компании, которые откладывают кибербезопасность на потом. Аргументы обычно одни и те же: «мы не интересны хакерам», «есть более крупные цели», «защита — это сложно и дорого». Но это заблуждение: в фокусе злоумышленников — не только крупный, но и средний и малый бизнес. И этот пример — тому доказательство. Сегодня компаниям нужны решения, которые обеспечивают защиту 24/7 и дают результат при соблюдении киберминимума — без необходимости строить собственный SOC и расширять штат ИБ-специалистов. Именно таким решением является PT X. Кроме того, мы предлагаем клиентам PT X выйти на кибериспытания — проверить возможность реализации недопустимого события с помощью белых хакеров. Если им удастся его реализовать — вознаграждение выплатим мы (спойлер: платить мы не любим). #PTX