Опубликован отчет о том, как происходят атаки и какие инструменты используют злоумышленники
«Лаборатория Касперского» опубликовала подробный отчёт о деятельности группы Head Mare, жертвами которой являются организации из России и Беларуси. Эксперты проанализировали, как происходят атаки и какие инструменты используют злоумышленники. В частности, установили связь с недавними целевыми атаками на российские организации с помощью вредоносного ПО PhantomDL.
Head Mare можно отнести к числу хактивистских групп, появившихся в последние два года. Впервые она заявила о себе в 2023 году. Группа атакует компании из России и Беларуси, вероятно, её цель — нанести им максимальный ущерб. Информацию о жертвах злоумышленники публикуют в открытых аккаунтах, включая названия организаций, их внутренние документы, скриншоты рабочих столов и административных консолей. На момент исследования группа заявила о девяти атакованных компаниях из разных отраслей — госсектора, транспорта, энергетики, производства, сферы развлечений.
В отличие от других хактивистских групп, Head Mare не ограничивается общедоступными инструментами: например, использует для получения первоначального доступа хорошо продуманные фишинговые кампании с эксплуатацией уязвимости в WinRAR, которая позволяет выполнить собственное вредоносное ПО. Это говорит о том, что злоумышленники совершенствуют свои техники, тактики и процедуры, чтобы повысить эффективность атак.
Стандартные инструменты. Как и большинство хактивистских групп, Head Mare в основном пользуются общедоступными вредоносными программами. Например, для шифрования файлов, что является конечной целью атаки, используется два семейства вредоносного ПО — LockBit для Windows и Babuk для Linux (ESXi). При этом, в отличие от хактивистских групп, которые не преследуют финансовой выгоды, Head Mare требует выкуп за зашифрованные файлы.
Собственные инструменты. Чтобы получить первоначальный доступ, атакующие делают фишинговые рассылки. Письма содержат вредоносный архив с документами-приманками, которые эксплуатируют относительно свежую уязвимость CVE-2023-38831 в WinRAR. Если жертва откроет вложенный документ, запустится выполнение вредоносного файла, и на её устройство установится вредоносное ПО — PhantomDL и PhantomCore.
Недавно «Лаборатория Касперского» сообщала о всплеске атак на российские организации с использованием PhantomDL. Зловред мог использоваться для установки и запуска различных вредоносных утилит, в том числе для удалённого администрирования. Это позволило бы не только управлять компьютером жертвы, но и загружать файлы с него на сервер злоумышленников. Собранные данные указывают на то, что атаки связаны с Head Mare.
Чтобы защититься от подобных атак, эксперты «Лаборатории Касперского» рекомендуют организациям:
- регулярно обновлять программное обеспечение на всех устройствах, чтобы злоумышленники не смогли воспользоваться уязвимостями и проникнуть в корпоративную сеть;
- использовать сложные и уникальные пароли для защиты корпоративных учётных записей и регулярно их обновлять, а также настроить многофакторную аутентификацию;
- использовать комплексные защитные решения, такие как Kaspersky Symphony, которые позволят выстроить гибкую и эффективную систему безопасности, включающую в себя обеспечение надёжной защиты рабочих мест, выявление и остановку атак любой сложности на ранних стадиях, сбор актуальных данных о кибератаках в мире и обучение сотрудников базовым навыкам цифровой грамотности;
- предоставлять сотрудникам отдела кибербезопасности возможность доступа к свежей информации о новейших тактиках, техниках и процедурах злоумышленников, например с помощью сервисов Threat Intelligence;
- регулярно проводить обучающие тренинги для сотрудников, чтобы снизить вероятность успешных атак с использованием фишинга, например с помощью онлайн-платформы Kaspersky Automated Security Awareness Platform. Для расширения навыков ИБ-специалистов подойдут продвинутые тренинги от экспертов «Лаборатории Касперского».
Подробнее — в материале на Securelist.
