Новая волна разрушительных атак Handala Hack с использованием RDP и множества инструментов для удаления данных
Новая волна разрушительных атак Handala Hack с использованием RDP и множества инструментов для удаления данных
Иранская киберугроза, известная под именем Handala Hack, осуществила серию разрушительных атак на организации в Израиле, Албании и США. В этих атаках злоумышленники применяли удалённый доступ через протокол RDP, технологии сетевого туннелирования и одновременно использовали несколько инструментов для стирания данных, что значительно усложняло восстановление систем.
Группа Handala Hack действует в рамках более широкой структуры, известной как Void Manticore, которая также отслеживается под названиями Red Sandstorm и Banished Kitten. Эти атаки связаны с Министерством разведки и безопасности Ирана (MOIS), что указывает на высокий уровень организации и ресурсов злоумышленников.
Технические детали атак
Основным вектором проникновения стал удалённый доступ по протоколу RDP, который злоумышленники использовали для получения контроля над системами жертв. Для скрытия своего присутствия и обхода сетевых ограничений применялась технология сетевого туннелирования с использованием инструмента NetBird. После установления контроля злоумышленники запускали несколько параллельных программ для удаления данных, что приводило к массовой потере информации и нарушению работы инфраструктуры.
Использование нескольких параллельных стирателей данных одновременно значительно увеличивало эффективность атак и усложняло процесс восстановления систем. Такой подход демонстрирует высокий уровень подготовки и координации действий группы Handala Hack.
Значение для организаций, управляющих внешней поверхностью атаки
Данный инцидент подчёркивает важность комплексного подхода к управлению внешней поверхностью атаки (External Attack Surface Management, EASM). Использование RDP остаётся одним из распространённых способов проникновения злоумышленников, особенно если доступ не защищён должным образом. Кроме того, применение сетевого туннелирования позволяет обходить традиционные средства защиты и маскировать вредоносную активность.
Организации, особенно с распределённой инфраструктурой и удалённым доступом, должны учитывать, что злоумышленники могут использовать сочетание различных техник для достижения своих целей, включая одновременное применение нескольких инструментов разрушения.
Практические рекомендации для команд информационной безопасности
-
Ограничение и мониторинг RDP-доступа: Необходимо минимизировать количество пользователей с правами удалённого доступа, использовать многофакторную аутентификацию и регулярно проверять журналы доступа на предмет подозрительной активности.
-
Контроль использования сетевых туннелей: Внедрять средства обнаружения и блокировки неавторизованных туннелей, таких как NetBird, чтобы предотвратить обход сетевых политик.
-
Защита от программ для удаления данных: Использовать решения для обнаружения и предотвращения запуска вредоносных стирателей, а также регулярно создавать резервные копии данных и проверять их целостность.
-
Обучение сотрудников: Повышать осведомлённость о методах социальной инженерии и признаках компрометации, чтобы снизить риск успешного проникновения.
-
Регулярный аудит внешней поверхности атаки: Проводить систематический анализ всех внешних точек доступа и сервисов, чтобы выявлять и устранять уязвимости до того, как ими воспользуются злоумышленники.
Внимательное отношение к управлению удалённым доступом и постоянный мониторинг активности на внешних интерфейсах помогут организациям повысить устойчивость к сложным и скоординированным атакам, подобным тем, что проводит группа Handala Hack.
