15 июля 2025

eur = 91.77 0.65 (0.72 %)

btc = 116 779.00$ -6 001.16 (-4.89 %)

eth = 2 980.91$ -63.19 (-2.08 %)

ton = 2.97$ -0.08 (-2.61 %)

usd = 78.37 0.49 (0.62 %)

eur = 91.77 0.65 (0.72 %)

btc = 116 779.00$ -6 001.16 (-4.89 %)

Русских хакеров обвинили во взломе американской компании через Wi-Fi

1 минута на чтение
Красное изображение с компьютерами и электроникой, один из элементов — логотип «V».

GigaChat Max кратко объясняет суть статьи

Хакерская группировка APT28 (Fancy Bear), предположительно связанная с Россией, провела кибератаку на американскую компанию, использовав новую методику «атаки ближайшего соседа». Вначале злоумышленники применили тактику «распыления паролей» для получения доступа к корпоративной Wi-Fi-сети, однако столкнулись с многофакторной аутентификацией. Затем они взломали другие организации поблизости, чтобы найти устройства, позволяющие подключиться к нужной сети. Через найденное устройство в радиусе действия трёх точек Wi-Fi компании-жертвы хакеры получили доступ к её сетям, используя непривилегированную учетную запись и встроенные инструменты Windows. Для повышения прав использовалась уязвимость нулевого дня CVE-2022-38028 в службе Windows Print Spooler. Злоумышленники собирали данные, включая ветви реестра Windows, и эксфильтрировали их в сжатом виде.

Российские хакеры проникли в американскую компанию через корпоративную сеть Wi-Fi, находясь за тысячи километров от неё, сообщает BleepingComputer.

Речь о хакерах из группировки APT28, также известной как Fancy Bear. Западные СМИ связывают её с Россией. Утверждается, что для атаки, которую обнаружили ещё в феврале 2022 года, они использовали новую технику под названием «атака ближайшего соседа».

Тогда компания Volexity, занимающаяся кибербезопасностью, обнаружила взлом сервера на объекте заказчика в Вашингтоне, который выполнял работу над проектами, связанными с Украиной.

  • Для начала хакеры получили учётные данные для доступа к корпоративной Wi-Fi-сети компании-жертвы при помощи атак с «распылением паролей», направленных на публичный сервис жертвы.
«Распыление паролей» — это тактика кибератак, при которой хакер использует один пароль для взлома нескольких учётных записей. Такой вид «грубой» атаки зачастую предполагает использование общераспространённых паролей.
  • Они не смогли использовать учётные данные к публичной сети из-за многофакторной аутентификации, поэтому начали искать организации в соседних зданиях, которые могли бы послужить отправной точкой к целевой беспроводной сети.
  • Идея в компрометации другой организации и поиске в её сети устройств, которые позволили бы подключиться через их адаптер к корпоративной сети Wi-Fi компании-жертвы. В пример приводятся ноутбуки или роутеры.

В результате было установлено, что APT28 скомпрометировала несколько организаций, последовательно подключаясь к ним при помощи актуальных учётных данных доступа.

Хакерам по итогу удалось обнаружить устройство в нужном диапазоне, которое и позволило подключиться к трём точкам Wi-Fi у окон конференц-зала компании-жертвы:

Используя подключение к удалённому рабочему столу с непривилегированной учётной записью, угрожающий агент смог перемещаться по сети цели в поисках интересующих его систем и для утечки данных.

Хакеры запускали файл servtask.bat для дампа ветвей реестра Windows (SAM, Security и System), сжимая их в ZIP-архив для последующей эксфильтрации.

Злоумышленники в основном использовали встроенные инструменты Windows, чтобы свести к минимуму свой след во время сбора данных.

Эксперты Volexity не смогли приписать атаку русских хакеров каким-либо известным субъектам угроз. Но исходя из отчётов Microsoft, в атаке содержались индикаторы компрометации, совпадающие с наблюдениями Volexity:

Основываясь на деталях отчёта Microsoft, можно предположить, что APT28 смогла повысить привилегии перед запуском критической полезной нагрузки, используя уязвимость нулевого дня CVE-2022-38028 в службе Windows Print Spooler

Читать первым в Telegram-канале «Код Дурова»

Важные новости коротко — от GigaChat Max 
1-bg-изображение-0
img-content-1-изображение-0

GigaChat Max: коротко о главном

Как изменился Код Дурова вместе с GigaChat Max?

Узнай о всех возможностях в FAQ-статье 
Cyberpunk 2077 выйдет на macOS 17 июляCyberpunk 2077 выйдет на macOS 17 июля

GigaChat Max: коротко о главном

Cyberpunk 2077 выйдет на macOS 17 июля

Полная версия 
Эксперты раскрыли многомилионные доходы сайтов с нейросетями для «раздевания»Эксперты раскрыли многомилионные доходы сайтов с нейросетями для «раздевания»

GigaChat Max: коротко о главном

Эксперты раскрыли многомилионные доходы сайтов с нейросетями для «раздевания»

Полная версия 

Реализовано через GigaChat Max 

Сейчас читают
Новости
Карьера
Блоги 377
OTP Bank
Газпромбанк
Сбер
Т-Банк
X5 Tech
билайн
МТС
Яндекс Практикум
Ozon Tech
Циан

Пользуясь сайтом, вы соглашаетесь с политикой конфиденциальности
и тем, что мы используем cookie-файлы