Неизвестные хакеры прослушивают корпоративную электронную почту и FTP-трафик - Форум по пробиву информации
  • ОСТОРОЖНО ФЕЙКИ ФОРУМА!

    В сети появляются фейки нашего форума!

    Будьте бдительны!

    ВНИМАНИЕ НАШИ ДОМЕНЫ ТОЛЬКО

    PROBIV.CC = PROBIV.BIZ = PROBIV.ONE = PROBIV.CLUB = PROBIV.ME = PROBIV.SITE = PROBIV.BZ!

    В СЕТИ ТОР ДОМЕН ТОЛЬКО

    PROBIV7JG46VMBOX.ONION!

    Напоминаем, что АГ форума не просят деньги в мессенжерах! Все вопросы решаются через форум!

    Будьте внимательны!
  • Внимание !

    На ряде теневых форумов участились случаи взлома аккаунтов, приоритет у взломщиков имеют старые аккаунты и аккаунты с историей, продаются и аккаунты продавцов.

    Будьте внимательны, старайтесь проводить сделки через Гарант-сервис. Если Вы хотите приобрести услугу у продавца или у отлежавшегося аккаунта, требуйте провести сделку через гарант-сервис, при отказе сразу сообщайте АГ форума.

    Настоятельно рекомендуем:

    • Периодически менять пароли
    • Убирать галочку вхождение автоматом в браузере
    • Чистить куки и кеш браузера
    • Использовать двухфакторную аутентификацию
  • АФИША ФОРУМА

    Полезная информация для форумчан:

    FAQ по форуму

    (все самое полезное в одном месте)

    Аттракцион бесплатных проверок

    (помогаем модераторам проводить проверки тем)

    Бесплатный сыр

    (раздел для искушённого пользователя)

    Конкурсы

    (участвуй в конкурсах и получай призы)

Новости Неизвестные хакеры прослушивают корпоративную электронную почту и FTP-трафик

  • Автор темы GLOV
  • Дата начала

GLOV

Прошлый ник Glover
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club

GLOV

Прошлый ник Glover
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Регистрация
20/5/18
Сообщения
1.135
Репутация
536
Реакции
1.466
Сделок через гаранта
15
Депозит
57 572 рублей
1585652616225.png
Эксперты китайской компании Qihoo 360 опубликовали отчет, в котором предупредили, что с декабря 2019 года неизвестные хакерские группы взламывают корпоративные маршрутизаторы DrayTek для прослушивания FTP-трафика и электронной почты внутри корпоративных сетей. По данным специалистов, как минимум две группировки используют разные 0-day уязвимости в устройствах DrayTek Vigor (маршрутизаторах с балансировкой нагрузки и VPN-шлюзах, обычно применяемых в корпоративных сетях). Так, по данным аналитиков, атаки наблюдаются на устройства DrayTek Vigor 2960 , 3900 и 300B.

Первая группа, которую исследователи обозначили как «группу А», демонстрирует более сложную тактику. Эти злоумышленники действуют с 4 декабря 2019 года и злоупотребляют уязвимостью в механизме входа в систему с шифрованием RSA. Таким образом они скрывают вредоносный код в поле ввода имени пользователя. Когда маршрутизатор DrayTek получает, а затем расшифровывает такие учетные данные, он запускает вредоносный код, и хакеры полностью перехватывают контроль над устройством.

Но вместо того чтобы традиционно использовать скомпрометированный девайс для организации DDoS-атак или проксирования трафика, хакеры используют его как инструмент для шпионажа и разведки. Так, исследователи пишут, что злоумышленники из группы А разворачивают на устройствах скрипт, который записывает весь трафик, проходящий через порт 21 (FTP, передача файлов), порт 25 (SMTP, электронная почта), порт 110 (POP3, электронная почта) и порт 143 (IMAP, электронная почта). Затем каждый понедельник, среду и пятницу в 00:00 этот скрипт загружает весь записанный трафик на удаленный сервер.

Также устройства DrayTek подвергаются атакам со стороны второй группировки, которую исследователи обозначили как «группу B». Эта группа использовала другую уязвимость нулевого дня, но хакеры обнаружили ее не сами. Данный 0-day был описан в сообщении от 26 января 2020 года в блоге Skull Army, и хакеры начали эксплуатировать проблему два дня спустя.

По информации Qihoo 360, эта группа применяет вторую проблема нулевого дня для выполнения кода: они используют ошибку в процессе rtick для создания учетных записей на взломанных маршрутизаторах. Что именно происходит с этими учетными записями после создания, пока остается неизвестным.

После обнаружения атак эксперты китайской компании уведомили инженеров DrayTek об обеих проблемах, однако их первое предупреждение было направленно по неверному каналу, и персонал DrayTek его не заметил. После атак группы В, в январе текущего года, производитель все же «услышал» экспертов и уже 10 февраля выпустил исправленные версии прошивки, даже для тех устройств, чья поддержка уже была прекращена.

Тем не менее, установить обновления успели еще далеко не все. Согласно поисковику BinaryEdge, сейчас в интернете можно найти более 978 000 устройств DrayTek Vigor, и, как утверждают исследователи, около 100 000 из них по-прежнему имеют уязвимые версии прошивок.
 
Сверху Снизу