Центр по борьбе с компьютерными инцидентами (CERT.GOV.AZ) Государственной службы специальной связи и информационной безопасности Азербайджанской Республики (ГСССИБ) провел индикаторно-ориентированную разведку угроз и технические исследования на основе полученных данных об активности, представляющей киберугрозу. Согласно данным, APT-группа (Advanced Persistent Threat) под названием FamousSparrow, связанная, как утверждается, с Китаем, осуществила многоэтапную кибератаку против одной из компаний, действующих в нефтегазовом секторе Азербайджана.

Как сообщает БР, об этом говорится в информации Центра по борьбе с компьютерными инцидентами Государственной службы специальной связи и информационной безопасности Азербайджанской Республики.

В информации отмечается, что злоумышленники получили первоначальный доступ, воспользовавшись уязвимостями ProxyShell и ProxyNotShell на платформе Microsoft Exchange Server, после чего разместили в системе web shell для обеспечения постоянного доступа. На последующих этапах посредством техники DLL sideloading были использованы вредоносные программы Deed RAT и TernDoor.

Однако в ходе детального анализа в сегменте AzStateNet не было обнаружено никаких следов деятельности FamousSparrow. Так, были проведены проверки безопасности по хешам файлов, доменам, URL-адресам и другим индикаторам компрометации, связанным с вектором атаки, а также оценены потенциальные признаки компрометации посредством хеш-значений. По доменным индикаторам в сети AzStateNet были выполнены соответствующие запросы. В результате проведенных мероприятий на основе технических индикаторов, связанных с атакой, были реализованы превентивные меры блокировки и применены соответствующие ограничения в системах безопасности.

Государственным органам рекомендуется проводить расследование подозрительных outbound-соединений и аномальной активности, в случае выявления признаков компрометации оперативно информировать соответствующие структуры, а также осуществлять проверки по доменам sentinelonepro[.]com:443 и virusblocker[.]it[.]com:443. Кроме того, рекомендуется проводить ретроспективный и текущий мониторинг IOC-индикаторов, направленных соответствующим учреждениям, осуществлять индикаторно-ориентированные проверки на базе государственной почтовой службы, SIEM, EDR/XDR, firewall, proxy и DNS-логов, а также дополнительный анализ инфраструктуры Microsoft Exchange и записей аутентификации.

Центр продолжает деятельность по мониторингу и разведке угроз в целях защиты критической информационной инфраструктуры от киберугроз, своевременного выявления потенциальной атакующей активности и реализации превентивных мер безопасности.