Hakerska grupa Everest navodno je tvrdila da je došlo do velikog kršenja sigurnosti podataka kompanije Nissan Motor Co., Ltd., što izaziva nove zabrinutosti u vezi sa sigurnošću podataka kod velikih proizvođača automobila.
Prema ranim izvještajima, grupa za sajber kriminal tvrdi da je od japanskog proizvođača automobila ukrala oko 900 GB osjetljivih podataka, što ukazuje na širok pristup internim sistemima i repozitorijima.
Iako puni obim kompromitacije još uvijek nije jasan, incident ističe kako ekipe za ransomware i krađu podataka nastavljaju ciljati globalne lance snabdijevanja i visokovrijedne industrijske podatke.
Početni znaci upada pojavili su se na underground forumima, gdje je grupa navodno dijelila uzorke dokaza o kompromitaciji kako bi potkrijepila svoje tvrdnje.
Ovi uzorci mogu uključivati interne dokumente, inženjerske datoteke ili zapise vezane za kupce, iako to još nije potvrđeno.
Analitičari napominju da takva curenja informacija često služe kao taktika pritiska u šemama dvostruke iznude, gdje napadači i šifriraju i prijete objavljivanjem podataka.
Analitičari Hackmanaca identificirali su navodno kršenje sigurnosti i izdali rano upozorenje o cyber napadu, označavajući Nissanove proizvodne operacije u Japanu kao primarni fokus i upozoravajući da se incident još uvijek provjerava.
Sa stanovišta vektora napada, aktivnost se čini usklađenom s uobičajenim taktikama koje koriste grupe koje prvo krade podatke i traže početni pristup putem izloženih udaljenih usluga, ukradenih VPN credentials ili phishing kampanja.
Jednom kada uđu unutra, akteri prijetnji se obično kreću bočno, mapiraju mrežu i traže datotečne servere, repozitorije koda i infrastrukturu sigurnosnih kopija.
Pretpostavljeni tok rada za eksfiltraciju podataka
Iako se tehnički indikatori za ovaj specifični incident s Nissanom još uvijek pojavljuju, širi Everest scenarij sugerira strukturirani pipeline za izvlačenje podataka koji branitelji mogu proučavati i emulirati u laboratorijskim simulacijama.
Nakon što se učvrste na kompromitovanom hostu, zlonamjerni softver ili skripte operatera obično nabrajaju montirane dijeljene resurse i dostupne diskove, gradeći ciljnu listu putanja kao što su finansijski serveri, inženjerski dijeljeni resursi i sistemi za upravljanje dokumentima.
Pojednostavljena rutina nabrajanja u stilu PowerShella mogla bi izgledati ovako:
Get-SmbShare | ForEach-Object {
Get-ChildItem "\\$env:COMPUTERNAME\$_" -Recurse -ErrorAction SilentlyContinue |
Where-Object { $_.Length -gt 5MB } |
Out-File "C:\ProgramData\target_files.txt" -Append
}U mnogim kampanjama, napadači zatim komprimiraju pripremljene podatke u arhive i eksfiltriraju ih putem HTTPS-a ili anonimizirajućih tunela do komandno-kontrolnih servera, često se miješajući s normalnim odlaznim prometom.
Komentari