Эксперты центра исследования киберугроз Solar 4RAYS ГК «Солар» заблокировали шпионскую активность азиатской группировки Obstinate Mogwai в инфраструктуре телеком-оператора, сообщает «Солар» в пятницу.
В атаке хакеры использовали старую, но не полностью устраненную вендором уязвимость десериализации в параметре ViewState (управляет состоянием веб-страниц среды ASP.NET, разработанной Microsoft). Она позволяет выполнять любые действия в атакованной системе – на сервере электронной почты Microsoft Exchange или веб-странице на базе ASP.NET. При этом сам факт ее эксплуатации крайне непросто обнаружить, а методика реагирования до сих пор не была подробно описана в профильных сообществах.
В конце 2023 – начале 2024 года эксперты Solar 4RAYS проводили расследование APT-атаки группировки Obstinate Mogwai на российскую телеком-компанию, среди клиентов которой – органы госвласти. В ходе работ специалисты обнаружили признаки успешной эксплуатации уязвимости параметра ViewState, которая известна еще с 2014 года. Она позволяет злоумышленникам исполнять произвольный код в системе и впоследствии красть, подменять или портить данные.