Продолжая тему, вслед за Европолом хакеры навестили и ведущую инфосек-компанию с доходом в 1,8 млрд. долл., доступ к которой на Breach Forums был выставлен на продажу все тем же IntelBroker.

Как позже выяснилось, жертвой стала Zscaler, которая до последнего скрывала инцидент.

Но по мере распространения слухов признала себя жертвой, сославшись на нарушения в изолированной тестовой среде.

При этом проводимое расследование не выявило никаких доказательств взлома ее клиентской или производственной сред, а скомпрометированный сервер якобы не размещался в инфраструктуре Zscaler и не имел пересечений с основными системами.

В свою очередь, IntelBroker предлагает доступ, который включает в себя «конфиденциальные и очень важные журналы, содержащие учетные данные, доступ SMTP, доступ к аутентификации по указателю PAuth, ключи доступа SSL и сертификаты SSL.

Учитывая репутацию селлера и предыдущие кейсы, в отмазки Zscaler вериться с трудом, больше это походит на Qualys, которая в свое время заявляла, что сама установила зараженный SolarWinds Orion в тестовой среде для изучения.

В конце концов, не зря же ведущая инфосек-компания обратилась за помощью к другой авторитетной фирме по реагированию на инциденты для расследования обстоятельств взлома.

Так что будем следить за ситуацией.

Исследователи из Лаборатории Касперского выкатили настоящий must have с квартальной аналитикой по APT-трендам, альтернативным парадигмам западного инфосека.

Причем делают это уже более шести лет, выдавая репрезентативную картину на основе собственных исследований по анализу APT-угроз.

Из основного в отчете за первый квартал 2024 года:

- Ключевые события включают использование Kimsuky бэкдора Durian на базе Golang в атаке на цепочку поставок в Южной Корее, Spyder и Remcos RAT в таргете DroppingElephant на цели в Южной Азии.

-  Lazarus продолжает обновлять свои функциональные возможности и методы, избегая обнаружения. 

- Выделены кампании, нацеленные на Ближний Восток, в том числе DuneQuixote, а также с участием таких APT, как Gelsemium, Careto, Oilrig.

- Отдельно рассмотрены AppleSeed (со привязкой к Andariel) и ViolentParody (потенциально приписываемую Winnti).

- в Азии и Африке орудовала SideWinder, расширяя географию и таргетинг по отраслям.

- Вредоносное ПО Spyrtacus, которое использовалось для атак на конкретных лиц в Италии, демонстрируя разработку хакерами вредоносного ПО для различных платформ, включая мобильные.

- Кампании APT по-прежнему очень географически разбросаны и ориентированы на Европу, Америку, Ближний Восток, Азию и Африку.

- Геополитика остается ключевым фактором развития APT, а кибершпионаж - главной целью кампаний.

- Продолжаются хактивистские кампании: сосредоточены в основном вокруг конфликта Израиля и Хамаса, но не только, как показывает активность SiegedSec.

Полная версия отчёта: https://securelist.com/apt-trends-report-q1-2024/112473/.