Эксперты центра исследования киберугроз Solar 4RAYS (ГК «Солар») зафиксировали но-вый тренд в кибератаках — злоумышленники находят способы отключать антивирусные программы, чтобы скрыть свое присутствие в системах российских компаний. В ходе од-ного из расследований специалисты обнаружили новую хакерскую группировку, исполь-зующую методы, позволяющие обходить защиту любых вендоров, включая популярные решения для кибербезопасности
Один из таких инцидентов произошел в промышленной организации. Вредоносный файл был обнаружен экспертами центра противодействия кибератакам Solar JSOC. Расследование показало, что злоумышленники проникли в корпоративную сеть через уязвимость в ПО DameWare Mini Remote Control, используемом для удаленного администрирования.
Ключевые этапы атаки:
- Использование уязвимости в ПО, которое оставалось доступным из внешней сети с периода пандемии.
- Размещение вредоносного файла в директории администрирования антивирусного решения.
- Отключение антивируса (в данном случае «Лаборатории Касперского»).
- Отключение технологии MiniFilter, которая используется для мониторинга активности в файловой системе Windows.
- Замена callback-функций антивируса фиктивными значениями, что лишает систему защиты возможности обнаруживать угрозы.
После деактивации защиты хакеры могли загружать любые вредоносные программы, не опасаясь их обнаружения.
Получив информацию от Solar 4RAYS, «Лаборатория Касперского» оперативно доработала механизмы самозащиты своих продуктов и выпустила обновления. В обновленных версиях были усилены правила обнаружения угроз, а также добавлены новые алгоритмы защиты от загрузки подозрительных драйверов.
Специалисты Solar 4RAYS отмечают, что атаки, включающие отключение средств защиты, становятся все более частым явлением. Если раньше такие техники использовались преимущественно в целевых шпионских кампаниях, то теперь они активно применяются киберпреступниками для разрушительных атак на критическую инфраструктуру.
Эксперты Solar 4RAYS рекомендуют предприятиям: Регулярно проверять работоспособность защитных решений – отключенный антивирус может быть признаком взлома. Контролировать передачу телеметрии – важно отслеживать, передают ли системы данные о событиях безопасности. Оценивать уровень компрометации инфраструктуры – это поможет выявить атаки до наступления серьезных последствий. Использовать эшелонированную защиту – интеграция EDR, XDR и NDR помогает обнаруживать сложные атаки в реальном времени.
Злоумышленники совершенствуют методы атак, находя способы обхода даже самых продвинутых антивирусных решений. Актуальность проактивных мер кибербезопасности выходит на первый план – без многоуровневой защиты и постоянного мониторинга организаций риск потерь и разрушительных последствий значительно возрастает.
