Азербайжандын энергетика тармагына багытталган киберчабуул аракеттери иликтенди

Кытай менен байланышы бар «FamousSparrow» аттуу APT (Advanced Persistent Threat) тобунун Азербайжандын мунай жана газ тармагында иштеген фирмалардын бирине көп баскычтуу кибер чабуул жасаганы айтылууда. Азербайжан Республикасынын Атайын Байланыш жана Маалыматтык Коопсуздук Мамлекеттик Кызматынын Компьютердик инциденттерге жооп берүү борбору (Мамлекеттик CERT) тарабынан алынган маалыматтын негизинде аталган киберкоркунучтар боюнча көрсөткүчкө негизделген коркунуч чалгындоо жана техникалык иликтөөлөр жүргүзүлдү Бул тууралуу Азербайжан Республикасынын Атайын байланыш жана маалыматтык коопсуздук мамлекеттик кызматынын компьютердик инциденттер менен күрөшүү борборунун маалыматында айтылат 525.az Маалыматта чабуулчулар “Microsoft Exchange Server” платформасында орун алган “ProxyShell” жана “ProxyNotShell” кемчиликтерин колдонуу менен алгач кирүү мүмкүнчүлүгүнө ээ болуп, андан кийин системага “веб кабыгын” жайгаштыруу менен үзгүлтүксүз кирүү мүмкүнчүлүктөрүн түзүп, кийинки этаптарда DED RAT жана TernDoor тараптык жүктөө техникасы аркылуу зыяндуу программаларды колдонушканы айтылат Бирок деталдуу талдоо учурунда “AzStateNet” сегментинде “FamousSparrow” ишмердүүлүгүнүн изи табылган жок. Ошентип, файл хэштери, домендери, URL даректери жана чабуул вектору менен байланышкан компромисстин башка көрсөткүчтөрү боюнча коопсуздук текшерүүлөрү жүргүзүлдү, компромисстин потенциалдуу белгилери хэш маанилери аркылуу бааланды. Домендик көрсөткүчтөр боюнча «AzStateNet» тармагына тиешелүү суроо-талаптар берилди. Көрүлгөн иш-чаралардын натыйжасында кол салуу аракетине байланыштуу техникалык көрсөткүчтөрдүн негизинде профилактикалык бөгөт коюу чаралары ишке ашырылып, тиешелүү коопсуздук системаларына тиешелүү чектөөлөр киргизилген Мамлекеттик мекемелерге (органдарга) шектүү "чыгыш" байланыштарды жана аномалдуу иш-аракеттерди иликтөө, компромисстин белгилери табылган учурда тиешелүү органдарга ыкчам маалымат берүү, ошондой эле "sentinelonepro[.]com:443" жана вирус блокатор[.]it[.]com:443 домендерин текшерүү, ошол эле учурда ЭОКтун тиешелүү мекемелерине ретроспективдүү мониторинг жүргүзүү. индикаторлор, мамлекеттик электрондук почта кызматы, SIEM, EDR/XDR, брандмауэр, прокси жана DNS журналдарында индикатордук текшерүүлөрдү жүргүзүү жана андан ары Microsoft Exchange инфраструктурасын жана аутентификация журналдарын талдоо сунушталат Критикалык маалыматтык инфраструктураларды киберкоркунучтардан коргоо, потенциалдуу чабуул аракеттерин өз убагында аныктоо жана алдын алуу коопсуздук чараларын ишке ашыруу багытында Борбор тарабынан мониторинг жана коркунучтарды чалгындоо иш-чаралары улантылууда