Зловред ShadowPad, пришедший на смену PlugX, представляет собой модульный троян, способный динамически загружать дополнительные плагины с удаленного сервера. Его используют в основном китайские APT-группы, занимающиеся шпионажем.
RAT-троян был запущен на одном из компьютеров жертвы. По словам Symantec, задействованные в данной атаке инфраструктура и инструменты отчасти совпадают с теми, что использует APT41, она же Winnti. Новую кибергруппу эксперты нарекли Redfly; похоже, ее интересуют только объекты КИИ. Попыток совершить диверсию после вторжения не обнаружено.
Юлия Парфенова, менеджер по продукту Efros Defence Operations, ООО «Газинформсервис» рассказала, как выстроить надежную защиту своей информационной инфраструктуры:
– Сегодня киберпреступники быстро и уверенно развивают свои компетенции, постоянно придумывая новые пути обхода даже самой сложной защиты. В данной ситуации организациям необходимо выстраивать защиту своей информационной инфраструктуры на разных уровнях и используя решения разных вендоров из области информационной безопасности.
Так, например, если преступник сумел обойти защиту на уровне аутентификации и dmz-зону, его можно выявить в случае, если он произвел изменения в конфигурациях или критически важных файлах.
Очевидно, что при наличии такой функции защиты, как контроль целостности, у сотрудников ИБ-службы была бы возможность выявить изменения в конфигурациях и предотвратить дальнейшие действия злоумышленников.
В данном случае с помощью функции контроля целостности нарушители могли быть обнаружены на этапе замены разрешения драйверов и добавления или изменения задачи в планировщике.