2 июля 2025

eur = 92.28 0.62 (0.67 %)

btc = 106 194.00$ - 918.14 (-0.86 %)

eth = 2 430.14$ -47.90 (-1.93 %)

ton = 2.78$ -0.09 (-3.22 %)

usd = 78.47 0.26 (0.33 %)

eur = 92.28 0.62 (0.67 %)

btc = 106 194.00$ - 918.14 (-0.86 %)

Русских хакеров обвинили во взломе американской компании через Wi-Fi

1 минута на чтение
Красное изображение с компьютерами и электроникой, один из элементов — логотип «V».

GigaChat Max кратко объясняет суть статьи

Хакерская группировка APT28 (Fancy Bear), предположительно связанная с Россией, провела кибератаку на американскую компанию, использовав новую методику «атаки ближайшего соседа». Вначале злоумышленники применили тактику «распыления паролей» для получения доступа к корпоративной Wi-Fi-сети, однако столкнулись с многофакторной аутентификацией. Затем они взломали другие организации поблизости, чтобы найти устройства, позволяющие подключиться к нужной сети. Через найденное устройство в радиусе действия трёх точек Wi-Fi компании-жертвы хакеры получили доступ к её сетям, используя непривилегированную учетную запись и встроенные инструменты Windows. Для повышения прав использовалась уязвимость нулевого дня CVE-2022-38028 в службе Windows Print Spooler. Злоумышленники собирали данные, включая ветви реестра Windows, и эксфильтрировали их в сжатом виде.

Российские хакеры проникли в американскую компанию через корпоративную сеть Wi-Fi, находясь за тысячи километров от неё, сообщает BleepingComputer.

Речь о хакерах из группировки APT28, также известной как Fancy Bear. Западные СМИ связывают её с Россией. Утверждается, что для атаки, которую обнаружили ещё в феврале 2022 года, они использовали новую технику под названием «атака ближайшего соседа».

Тогда компания Volexity, занимающаяся кибербезопасностью, обнаружила взлом сервера на объекте заказчика в Вашингтоне, который выполнял работу над проектами, связанными с Украиной.

  • Для начала хакеры получили учётные данные для доступа к корпоративной Wi-Fi-сети компании-жертвы при помощи атак с «распылением паролей», направленных на публичный сервис жертвы.
«Распыление паролей» — это тактика кибератак, при которой хакер использует один пароль для взлома нескольких учётных записей. Такой вид «грубой» атаки зачастую предполагает использование общераспространённых паролей.
  • Они не смогли использовать учётные данные к публичной сети из-за многофакторной аутентификации, поэтому начали искать организации в соседних зданиях, которые могли бы послужить отправной точкой к целевой беспроводной сети.
  • Идея в компрометации другой организации и поиске в её сети устройств, которые позволили бы подключиться через их адаптер к корпоративной сети Wi-Fi компании-жертвы. В пример приводятся ноутбуки или роутеры.

В результате было установлено, что APT28 скомпрометировала несколько организаций, последовательно подключаясь к ним при помощи актуальных учётных данных доступа.

Хакерам по итогу удалось обнаружить устройство в нужном диапазоне, которое и позволило подключиться к трём точкам Wi-Fi у окон конференц-зала компании-жертвы:

Используя подключение к удалённому рабочему столу с непривилегированной учётной записью, угрожающий агент смог перемещаться по сети цели в поисках интересующих его систем и для утечки данных.

Хакеры запускали файл servtask.bat для дампа ветвей реестра Windows (SAM, Security и System), сжимая их в ZIP-архив для последующей эксфильтрации.

Злоумышленники в основном использовали встроенные инструменты Windows, чтобы свести к минимуму свой след во время сбора данных.

Эксперты Volexity не смогли приписать атаку русских хакеров каким-либо известным субъектам угроз. Но исходя из отчётов Microsoft, в атаке содержались индикаторы компрометации, совпадающие с наблюдениями Volexity:

Основываясь на деталях отчёта Microsoft, можно предположить, что APT28 смогла повысить привилегии перед запуском критической полезной нагрузки, используя уязвимость нулевого дня CVE-2022-38028 в службе Windows Print Spooler

Читать первым в Telegram-канале «Код Дурова»

Важные новости коротко — от GigaChat Max 
1-bg-изображение-0
img-content-1-изображение-0

GigaChat Max: коротко о главном

Как изменился Код Дурова вместе с GigaChat Max?

Узнай о всех возможностях в FAQ-статье 
b48acb44-90cd-4d16-a6c1-741649d43f70-изображение-0

GigaChat Max: коротко о главном

Спутниковая связь iPhone помогла спастись альпинисту в Колорадо

Полная версия 
d06efde2-5ac8-4815-810f-28838722e62e-изображение-0

GigaChat Max: коротко о главном

Google могут обязать выплатить штраф за незаконный сбор данных

Полная версия 

Реализовано через GigaChat Max 

Сейчас читают
Карьера
Блоги 367
Т-Банк
X5 Tech
Газпромбанк
билайн
Сбер
МТС
Яндекс Практикум
Ozon Tech
Циан
Банк 131

Пользуясь сайтом, вы соглашаетесь с политикой конфиденциальности
и тем, что мы используем cookie-файлы