Хакеры начали кибератаки, нацеленные на несколько школ и университетов в Нью-Мексико

Образовательные учреждения по всему Нью-Мексико сталкиваются с растущей картиной киберугроз, что отражает тревожную тенденцию, наблюдаемую по всей стране.

Недавние сетевые вторжения, направленные против нескольких школ и университетов штата, вызвали серьезную обеспокоенность по поводу цифровой безопасности в образовательной среде.

Эти сложные атаки нарушили работу административных систем, тщательно избегая вмешательства в работу студенческих образовательных платформ, что свидетельствует о стратегическом подходе со стороны злоумышленников.

Атаки обычно начинаются с несанкционированной сетевой активности в вечерние часы или выходные дни, когда мониторинг может быть ослаблен.

Эксперты по безопасности отмечают, что вторжения следуют модели горизонтального перемещения по административным сетям, при этом злоумышленники обеспечивают себе настойчивость, тщательно избегая обнаружения.

Такой методический подход обеспечивает расширенный доступ к потенциально конфиденциальным системам, не вызывая немедленных оповещений, которые могли бы возникнуть в результате нарушения работы служб, ориентированных на учащихся.

Аналитики школьной системы Коуэта выявили схожие закономерности в своем собственном инциденте безопасности, отметив, что методология атак демонстрирует поразительное сходство с теми, которые были направлены на учреждения Нью-Мексико.

Расследование показало, что злоумышленники специально нацелились на административные сети, намеренно оставляя доступные учащимся системы, включая Chromebook, доступ по Wi-Fi и средства связи , в рабочем состоянии, чтобы задержать обнаружение.

«Взлом сети является серьезным и расследуется школьной системой и рядом партнеров по безопасности», — говорится в официальных заявлениях.

Информация об инцидентах была передана в соответствующие органы, включая государственные органы по чрезвычайным ситуациям и Министерство внутренней безопасности.

В школах внедрены установленные протоколы безопасности, которые отключают уязвимые системы, при этом обеспечивая бесперебойную работу образовательных учреждений.

Анализ вектора атаки

Основным вектором заражения, по-видимому, являются скомпрометированные учетные данные администратора, полученные с помощью кампаний социальной инженерии, нацеленных на сотрудников.

Получив первоначальный доступ, злоумышленники развертывают модифицированный троян удаленного доступа с возможностью сохранения.

Типичная последовательность атаки включает в себя команду PowerShell, например:

powershell.exe -NoP -NonI -W Hidden -Exec Bypass -Command “New-

Item -Path HKCU:\Software\Microsoft\Windows\CurrentVersion\Run –

Name ‘SystemServiceHost’ -Value ‘powershell.exe -WindowStyle

hidden -ExecutionPolicy Bypass -File %TEMP%\service.ps1′ -Force”

Эта команда обеспечивает сохранение, создавая раздел реестра, который запускает скрытый скрипт PowerShell при запуске.

Затем вредоносная программа сохраняет незаметность, тщательно извлекая данные и избегая обнаружения средствами мониторинга безопасности.

Пока продолжаются расследования, школы принимают усиленные меры безопасности, обеспечивая при этом бесперебойную работу важнейших образовательных функций, включая плановое тестирование и доступ учащихся к учебным ресурсам.

Источник — https://securenews.ru/