Защита от Operation Harvest с помощью McAfee Security Platform
Как и в других целевых кампаниях, в Operation Harvest используется несколько техник для доступа к сети и сбора учетных данных перед их захватом. По этой причине у специалистов по защите сетей будет больше возможностей для предупреждения, обнаружения и предотвращения вредоносной деятельности. Своевременная профилактика, выявление и реагирование на такую деятельность очень важны для устойчивости бизнеса. Ниже представлена обзорная информация о том, как защититься от атак типа Operation Harvest с помощью решения McAfee MVISION Security Architecture. В этой публикации мы приведем несколько примеров того, как MVISION Security Platform эффективно противостоит таким атакам.
Подготовка благодаря актуальным данным о киберугрозах (Threat Intelligence)
Цель любого специалиста по защите сетей — предупредить, обнаружить и предотвратить угрозу как можно раньше. На первом этапе для этого используются данные о киберугрозах, полученные из блогов или решений наподобие MVISION Insights. Кроме того, специальные инструменты, например, MITRE ATT&CK® Navigator, помогут оценить защищенность системы. В блоге команды ATR подробно описаны техники, индикаторы и инструменты, используемые хакерами. Многие из инструментов кампании Operation Harvest широко используются другими киберпреступниками, поэтому сведения об угрозах из PlugX и Winnti уже задокументированы в MVISION INSIGHTS.
В последней версии решения MVISION Insights уже доступны новейшие технические данные об атаке Operation Harvest, включая краткое описание, уровень распространенности, индикаторы компрометации и рекомендуемые меры противодействия.
Защита против первоначального доступа
В рамках указанной атаки для первоначального доступа используется скомпрометированный веб-сервер. За последний год киберпреступники активно применяли иные способы получения такого доступа (кроме целевого фишинга), например, взлом систем удаленного доступа или атаки на цепочки поставок. Эксплуатация общедоступных уязвимостей — техника первоначального доступа, которая характерна для Operation Harvest и других APT-кампаний. Обнаружение и блокировка этих действий позволит серьезно ограничить возможность реализации стратегий кибератаки. В дополнение к контролю текущих операций, очень важно вовремя устанавливать патчи критических уязвимостей и проверять конфигурации на соответствие передовым практикам в области безопасности. MVISION UCE обеспечивает защиту от подозрительных активностей благодаря видимости угроз и уязвимостей, а также аудитов системных настроек, отвечающих концепции MITRE ATT&CK.
Многие приложения и веб-серверы заказчиков работают на облачной инфраструктуре. Специалисту по защите сетей крайне важно видеть и исправлять ошибки конфигурации этих сред, так как они часто становятся точкой доступа для хакеров. Платформа защиты нативных облачных приложений MVISION Cloud Native Application Protection Platform (CNAPP) обеспечивает непрерывный мониторинг нескольких облачных инфраструктур с единой консоли, позволяя быстро устранить некорректные системные настройки и повысить эффективность защиты AWS, AZURE и Google Cloud. Защита сервера или конечного устройства от вредоносных инструментов
Киберпреступники загружали во взломанные системы известные вредоносные или потенциально вредоносные инструменты. Модули ENS Threat Prevention и Adaptative Threat Prevention (ATP) обнаруживали многие такие программы при установке или выполнении. ePolicy Orchestrator (ePO) обеспечивает простой поиск событий с возможностью просмотра систем с обнаруженными уязвимостями.
Для наилучшей защиты будет полезно включить функцию сбора глобальных данных о киберугрозах (Global Threat Intelligence, GTI) в модулях Threat Prevention и Adaptive Threat Protection. В модуле ATP должны быть активированы Правила 4 (проверка репутации файла GTI) и 5 (проверка репутации URL). Последняя версия глобальных данных о киберугрозах уже содержит новые индикаторы для атаки Operation Harvest.
Кроме того, на основе наших наблюдений мы установили ряд других правил адаптивного предотвращения угроз (Adaptive Threat Prevention, ATP), которые помогут остановить или выявить потенциально вредоносные действия на конечном устройстве или сервере. В журналах событий угроз ePO обращайте особое внимание на следующие события ATP:
Правило 269. Обнаружение потенциально вредоносного использования сервиса WMI для обеспечения сохраняемости Правило 329. Выявление подозрительного использования «запланированных задач» Правило 336. Обнаружение подозрительных нагрузок, нацеленных на сетевые службы или приложения, с помощью инструментов двойного назначения Правило 500. Блокируйте боковое перемещение с помощью утилит типа Psexec с зараженного клиента на другие машины сети Правило 511. Обнаружение попыток передачи конфиденциальной информации, связанной с данными доступа, по lsaas
В ходе дальнейшего анализа мы сформулируем дополнительные правила ATP, актуальные для данной атаки, которые будут включены в руководство по борьбе с ней в MVISION Insights.
ENS с Expert Rules
Expert Rules (экспертные правила) — многофункциональный настраиваемый язык сигнатур, который используется в модуле ENS Threat Prevention Module. Чтобы предотвратить атаку Operation Harvest, необходимо задать правила для выявления возможного неправильного использования Psexec или блокировки выполнения или создания файлов определенного типа, например, RAR.
Дополнительные инструкции по созданию собственных Expert Rules, а также ссылка на наш репозиторий: Как использовать Expert Rules в ENS для борьбы с вредоносными эксплойтами Репозиторий ATR Expert Rule
Перед применением для блокировки мы рекомендуем заказчикам протестировать новое правило в режиме отчета.
Предотвращение и обнаружение удаленного контроля типа Command and Control (С2)
Как и при эксплуатации критических уязвимостей, хакеры могут установить контроль над взломанной системой и использовать ее для внедрения и распространения, а также выполнения других операций. Решение MVISION EDR успешно обнаруживает признаки действий этого типа, включая «маяки» Cobalt Strike. В случае с Operation Harvest, MVISION EDR регистрирует запросы к DNS и на подключение к HTTP-соединению подозрительных доменов. Аналитики SOC могут использовать поиск в реальном времени и хронологию для упреждающего поиска скомпрометированных устройств.
Кроме того, решение Unified Cloud Edge (UCE–SWG) может блокировать доступ к небезопасным сайтам на основе данных о киберугрозах, репутации URL, результатов поведенческого анализа и переносе в изолированную среду. Внедрите эффективные политики безопасности и проверяйте журналы событий — это позволит выявить потенциально вредоносные операции C2.
Контроль повышения привилегий (Privilege Escalation)
Киберпреступники использовали несколько техник и инструментов для повышения привилегий доступа и запускали Mimikatz для кражи данных. В ходе нашего тестирования решение MVISION EDR своевременно обнаружило попытку скачать и запустить в PowerShell сценарий Mimikatz. Мы смоделировали вредоносную попытку злоумышленника, который с помощью простых инструментов получает повышенный уровень привилегий. Последовательность операций по замене обычного имени пользователя на «SYSTEM» отображалась в дереве процессов мониторинга EDR.
Затем мы провели в скомпрометированной системе пошаговое расследование. Анализ данных выявил аномалии в поведении пользователя. Пошаговые расследования облегчают визуализацию сложных наборов данных и взаимосвязей между артефактами и системами.
Обнаружение часто используемых инструментов горизонтального перемещения (Lateral Movement)
Для горизонтального перемещения киберпреступники использовали популярную утилиту двойного назначения — Psexec.exe. Во многих случаях обнаружение на основе сигнатур не позволяет выявить вредоносное использование системных инструментов. В MVISION EDR используется сочетание поведенческого анализа и данных об угрозах. С его помощью запуск Psexec для бокового перемещения был своевременно выявлен, этому действию был присвоен статус угрозы высокой степени серьезности.
Регистрация аномалий в поведении пользователей и данных для выявления взлома
Группа хакеров, осуществлявших атаку Operation Harvest, использовала различные инструменты для повышения привилегий и кражи данных из скомпрометированных систем. Визуализация аномального поведения пользователей и перемещения данных позволяет выявить возможные вредоносные действия в вашей среде. MVISION UCE осуществляет мониторинг пользовательского поведения и уведомляет специалистов по безопасности обо всех аномалиях, которые могут указывать на внутренние или внешние угрозы.
Платформа MVISION Security Platform обеспечивает всестороннюю защиту и позволяет предупредить, обнаружить или блокировать многие техники атак, используемые в кампании Operation Harvest. Для максимальной защиты организации от кибератак специалисты по безопасности должны сосредоточить усилия на предупреждении или обнаружении этих техник.
Консалтинговая компания Axenix провела исследование конвергенции маркетплейсов и банков на российском и мировом рынках. Результаты исследования показывают, как влияет на рынок сближение и взаимопроникновение секторов финансов и электронной коммерции
В 2025 году российский рынок информационной безопасности (ИБ) стремительно развивался в ответ на требования цифровизации, регуляторные изменения и усиление угроз со стороны киберпреступности.
Специалисты ФСБ России провели успешные испытания «Континент-АП» Версия 4 (сборки 4.1.689.0 и 4.1.725.0) на соответствие требованиям к средствам криптографической защиты информации (СКЗИ).
Компания EGAR успешно завершила первый проект по внедрению и интеграции конвертера Swift-сообщений «СМАРТКОНВЕРТ» в инфраструктуру российского банка. Проект реализован в ответ на глобальные изменения Swift по обязательному переходу участников финансового рынка на стандарт ISO 20022. Внедрение конвертера позволит Заказчику обеспечить плавную миграцию платежных потоков без остановки операционной деятельности.
ГК «Оптимакрос» заняла 4 место в рейтинге ИТ-разработчиков 2024 года, чьи программные продукты используются в строительной отрасли. В итоговый список аналитики TAdviser включили компании с наибольшей выручкой от реализации ИТ-проектов на базе собственных решений.
ЗАО «Эвалар» и ООО «АС РС» (VARSEAS) заключили соглашение о стратегическом партнерстве, направленном на развитие инновационных решений в сфере продукции для здоровья и укрепление позиций сторон на российском и международном рынках. Подписание документов о сотрудничестве состоялось накануне на предприятии компании «Эвалар» в Бийске.
Платформа серверной виртуализации SpaceVM компании «ДАКОМ М» вошла в тройку лидеров ежегодного Рейтинга российских платформ виртуализации 2025, который подготовил аналитический отдел издания «Компьютерра».
Проведенные тесты подтверждают стабильную и эффективную работу совместного решения, что позволяет предлагать клиентам комплексные отечественные ИТ-продукты, соответствующие требованиям импортозамещения и информационной безопасности.
Работу станков, линий и технологических комплексов определяют проекты ПЛК, и любое несанкционированное изменение в их коде может привести не только к аварии и простоям, но и к угрозе безопасности людей.
Банк Уралсиб оценил результаты применения системы активной бизнес-аналитики Proceset, которая помогла повысить эффективность работы сотрудников с новым программным продуктом.
АО «Центр развития электронных торгов» (оператор ЭТП «Торги223») объявляет о завершении проекта по переносу инфраструктуры на облачную платформу Yandex Cloud.
Завод по производству автоклавного газобетона (входит в периметр ГК ФСК), расположенный на территории промышленно-строительного комплекса в Зеленограде, получил разрешение на ввод в эксплуатацию. Комплекс возводит ГК ФСК в рамках масштабного инвестиционного проекта (МаИП). По программе стимулирования создания мест приложения труда завод обеспечит более 100 высокотехнологичных рабочих мест.
