Национальная кибербезопасность & Коммуникационный Центр Интеграции (NCCIC) выпустили Тревогу Деятельности выдвижение на первый план пяти общедоступных инструментов взламывания, которые использовались в нескольких кибер инцидентах во всем мире.
Кроме того, тревога была результатом совместной операции с Соединенным Королевством Национальный Центр Кибербезопасности, австралийский Центр Кибербезопасности, канадский Центр Кибербезопасности и Новая Зеландия Национальный Центр Кибербезопасности.
Инструменты, описанные в тревоге, являются Передатчиком Пакета HUC, Империей PowerShell, Mimikatz, китайским Вертолетом, JBiFrost, командным пунктом (C2) obfuscator, структура поперечного движения, мандат stealer, webshell и Remote Access Trojan (RAT) соответственно.
Как детализировано в «AA18-284A: Общедоступные Инструменты, Замеченные в Кибер Инцидентах Во всем мире» тревога, инструменты использовались, чтобы пойти на компромисс, предназначается для широкого спектра целей от здоровья и финансов правительству и защите.
Общедоступные инструменты взламывания, детализированные в тревоге, используются каждый раз, когда они удовлетворяют работе под рукой
Отчет упоминает, что, хотя актеры угрозы, которые использовали инструменты в свободном доступе, были также замечены использующие намного более сложные методы и злонамеренные инструменты, они все еще использовали их распространенные, когда не было никакой потребности занять дополнительное время, чтобы развернуть более сложные инструменты.
В рамках тревоги AA18-284A пять властей кибербезопасности описывают, в каких случаях каждый из инструментов использовались, а также их возможности и организации мер по смягчению, может взять, чтобы защитить себя.
«Независимо от того, что эти цели могут быть, начальные компромиссы систем жертвы часто устанавливаются через эксплуатацию слабых мест коллективной безопасности», говорится в сообщении. «Злоупотребление неисправленными слабыми местами программного обеспечения или плохо настроенными системами - распространенные способы для актера угрозы получить доступ».
Все инструменты, описанные в Тревоге Деятельности, использовались актерами угрозы после того, как им удалось поставить под угрозу целенаправленные системы, допуская дальнейшую эксплуатацию других машин в той же сети, и для сбора и экс-фильтрования данных, когда это возможно.