Не так давно мы рассказывали про атаки киберпреступников в странах Юго‑Восточной Азии. Регион СНГ не отстает по интересу к нему злоумышленников. Одна из основных угроз здесь — атаки кибершпионских групп. В 2023-м и первой половине 2024 года их доля составила 18% от общего числа успешных атак на СНГ в этот период.

В этой статье мы расскажем про APT‑группировки, «работающие» на территории СНГ, и методы, которые они используют в атаках, а также поделимся интересными инсайтами из большого исследования, полную версию которого можно найти на сайте.

Довольно легко проследить связь между телекоммуникационным развитием страны и количеством атак — и там, и там лидирует Россия. Несмотря на то, что РФ остается любимой целью кибершпионских групп, среди стран СНГ она является лидером кибербезопасности (индекс кибербезопасности составляет 71,43).

Соотношение индекса кибербезопасности (NCSI) и ВВП страны
Соотношение индекса кибербезопасности (NCSI) и ВВП страны

Большая часть группировок, оперирующих в регионе, атакует организации в России и Беларуси. В 2023 и 2024 годах в регионе продолжали деятельность кибергруппировки, известные на протяжении многих лет, например XDSpy и Cloud Atlas. Однако за последние два года появились новые, например Lazy Koala, YoroTrooper, Sticky Werewolf, Hellhounds, (Ex)Cobalt. Ниже приведен краткий обзор 15 кибершпионских групп.

Кибершпионские группы, наиболее активные в странах СНГ в 2023 и 2024 годах
Кибершпионские группы, наиболее активные в странах СНГ в 2023 и 2024 годах
Отрасли, атакуемые кибершпионскими группами в странах СНГ в 2023 и 2024 годах
Отрасли, атакуемые кибершпионскими группами в странах СНГ в 2023 и 2024 годах

XDSpy

Группа XDSpy активна как минимум с 2011 года. В СНГ она атакует организации из самых разных отраслей преимущественно в России, Беларуси и Молдавии. В атаках использует одноименный инфостилер, который распространяет через фишинговые рассылки.

Одно из фишинговых писем было отправлено в научно‑исследовательский институт от имени другого НИИ. В тексте была ссылка на файлообменник, откуда загружался файл Zayavlenye.pdf и вредоносное ПО. Письмо выглядело правдоподобно: в подписи был логотип института‑отправителя, в загружаемом файле — отсканированный бланк заявления, заполненного от руки.

Фишинговое письмо от XDSpy
Фишинговое письмо от XDSpy
Содержимое файла Zayavlenye.pdf из фишинговой рассылки от XDSpy
Содержимое файла Zayavlenye.pdf из фишинговой рассылки от XDSpy

Cloud Atlas

Cloud Atlas атакуют множество отраслей и стран по всему миру как минимум с 2014 года. В апреле 2023 года злоумышленники рассылали письма в крупные российские организации под видом просьбы о помощи в СВО. В документе использовалась техника Template Injection, о ней наши эксперты уже рассказывали ранее. В конце 2023 года коллеги зафиксировали фишинговые рассылки Cloud Atlas в адрес российской исследовательской госкомпании и агропромышленного предприятия. С февраля по март 2024 года группа совершила не менее пяти атак на госучреждения в России и Белоруссии. В ходе этих атак киберпреступники использовали фишинговые письма с вложениями, которые загружали вредоносные шаблоны с удаленного сервера.

Фишинговое письмо группы Cloud Atlas под видом просьбы помощи в СВО
Фишинговое письмо группы Cloud Atlas под видом просьбы помощи в СВО

APT31

В разное время атаковала организации в Европе, Канаде и США с 2016 года. Весной и летом 2024 года группировка расширила географию: были зафиксированы кибершпионские кампании против государственных организаций и IT‑компаний в России. Киберпреступники использовали множество различных инструментов, в том числе новый бэкдор CloudSorcerer. В рамках весенней кампании в качестве основных командных серверов для бэкдора они использовали публичные облачные службы. В июле киберпреступники использовали троян, известный с 2021 года, обновленный бэкдор CloudSorcerer и ранее неизвестный имплант, код которого схож с кодом бэкдора Clambling группы APT27.

Space Pirates

Про «пиратов» стало известно в конце 2019 года. Группа активна как минимум с 2017 года. Ребята из комнады Threat Intelligence экспертного центра безопасности Positive Technologies (PT ESC) рассказали, что с момента обнаружения группировка практически не изменила свои тактики и техники, однако разработала новые инструменты и улучшила старые. Среди жертв в 2023 году — государственные и образовательные учреждения, охранные предприятия, промышленность и топливно‑энергетический комплекс, а также компании, занимающиеся информационной безопасностью.

Core Werewolf

Core Werewolf предположительно начала свою деятельность в 2021 году. Ее цель — российские организации военно‑промышленного комплекса, объекты критической информационной инфраструктуры. Злоумышленники рассылают фишинговые письма с вредоносными вложениями, маскирующимися под различные документы — приказы, резюме, методические указания. К примеру, в конце 2023 года во время расследования одного инцидента команда расследования угроз PT ESC обнаружила письмо с фишингового домена fstec[.]support якобы от имени ФСТЭК. В качестве вложения к письмам прилагается самораспаковывающийся архив с клиентом ПО для удаленного доступа UltraVNC.

Вредоносное вложение из фишинговой рассылки Core Werewolf, выявленное специалистами PT ESC в I квартале 2024 года
Вредоносное вложение из фишинговой рассылки Core Werewolf, выявленное специалистами PT ESC в I квартале 2024 года

YoroTrooper

Группа YoroTrooper впервые попала на радары в середине 2022 года. На данный момент активны только в странах СНГ. В период с мая по август 2023 года злоумышленники взломали несколько государственных веб‑сайтов и завладели учетными записями важных государственных лиц. Группа прикладывает усилия, чтобы скрыть свое происхождение, разместив большую часть инфраструктуры в Азербайджане.

Вредоносное вложение из фишинговой рассылки YoroTrooper, выявленное специалистами TI-департамента PT ESC в 2023 году
Вредоносное вложение из фишинговой рассылки YoroTrooper, выявленное специалистами TI‑департамента PT ESC в 2023 году

(Ex)Cobalt

Название (Ex)Cobalt было присвоено группе Cobalt, известной с 2016 года, после того как несколько лет назад киберпреступники сменили свою деятельность с финансово‑мотивированных атак на кибершпионаж. В 2023 год специалисты PT ESC расследовали атаки киберпреступников, нацеленные на российские организации. Также эксперты обнаружили ранее неизвестный бэкдор GoRed авторства этой группы.

Sticky Werewolf

Как минимум с апреля 2023 года организации в России и Беларуси атакует ранее неизвестная группа Sticky Werewolf. Первые атаки были направлены против госучреждений, однако впоследствии группа заинтересовалась и другими отраслями. Злоумышленники начинают с фишинговых рассылок с вредоносными вложениями, замаскированными под различные документы — предупреждения, заявления, повестки, предписания. Арсенал группы регулярно обновляется. В течение 2023 года на компьютеры жертв доставлялось ВПО для удаленного управления NetWire, Darktrack, Ozone RAT и инфостилер MetaStealer (разновидность RedLine). В 2024 году группа стала использовать инфостилеры Glory и Rhadamanthys.

Mysterious Werewolf

Об атаках еще одних «оборотней», группы Mysterious Werewolf, стало впервые известно в 2023 году. В начале октября наши эксперты обнаружили фишинговые письма, где эксплуатировалась уязвимость CVE-2023–38 831 в WinRAR. При исполнении вредоносных вложений жертвы заражались вредоносом Athena, который является частью фреймворка Mythic. Эту кампанию описали аналитики из Cyble, а позже, в ноябре, коллеги из BiZone дополнили описание и назвали группу Mysterious Werewolf. Целями группы становятся исключительно российские организации. В одной из последних кампаний злоумышленники использовали собственный бэкдор RingSpy, управляемый через Telegram‑бота. С его помощью хакеры получили удаленный доступ к скомпрометированным устройствам.

SneakyChef

Группа известна с 2023 года. В атаках использует троян SugarGh0st — улучшенная модификация известного трояна Gh0st, исходный код которого оказался в публичном доступе в 2008 году. В ноябре 2023 года исследовательская группа Cisco Talos опубликовала отчет, где описала детали кибератаки с использованием трояна на Министерство иностранных дел Узбекистана. Затем в декабре 2023 года эксперты Национального координационного центра информационной безопасности Казахстана выявили фишинговую рассылку, целью которой было заражение SugarGh0st казахстанского госоргана. А уже в июне 2024 года эксперты Cisco Talos поделились подробностями новой кампании операторов SugarGh0st, дав им название SneakyChef. Группа атакует государственные организации через фишинговые рассылки. В качестве приманки использует отсканированные документы госорганов, большинство из которых связаны с министерствами иностранных дел и посольствами различных стран.

Hellhounds

В ноябре 2023 года специалисты PT ESC рассказали об атаках ранее неизвестной группировки Hellhounds, атакующей исключительно российские компании. В атаках использовался доработанный образец бэкдора Decoy Dog, который стал для группы флагманским инструментом. В 2024 году группа продолжила активно атаковать российские компании, и ко второму кварталу число жертв достигло 48. Среди них преимущественно IT‑компании, госучреждения и промышленность.

ReaverBits

Группа обнаружена в январе 2024 года. Злоумышленники рассылают фишинговые письма в адрес российских компаний от имени различных организаций (в том числе от министерств). Первые письма датируются декабрем 2023 года. Через них группа распространяет шпионское ПО MetaStealer — форк распространенного в атаках на СНГ инфостилера RedLine.

PhantomCore

С января 2024 года российские компании активно атакует новая группа кибершпионов PhantomCore. Злоумышленники рассылают фишинговые письма, эксплуатируя уязвимость CVE-2023–38 831, однако вместо ZIP‑архивов используются RAR‑архивы. Жертвы заражаются ранее не описанным трояном удаленного доступа — PhantomRAT. В качестве приманок используются различные служебные документы — договоры, акты сверки, счета‑фактуры.

Вредоносное вложение из фишинговой рассылки PhantomCore в Белорусские учреждения
Вредоносное вложение из фишинговой рассылки PhantomCore в Белорусские учреждения

Lazy Koala

Деятельность группы Lazy Koala впервые была замечана нашими специалистами во время расследования серии атак, направленных на государственные структуры ряда стран СНГ в начале 2024 года. В ходе фишинговых рассылок группа распространяла вредоносное ПО LazyStealer, которое ворует учетные данные из браузеров с дальнейшей пересылкой их в Telegram‑бот. В круг интересов злоумышленников, помимо госучреждений, входят также финансовые и медицинские организации, наука и образование в Азербайджане, Беларуси и Узбекистане. В атаках на Азербайджан и Беларусь злоумышленники изменили формат отправляемых в бот сообщений и сменили ник с Koala на Capybara, а в атаках на Узбекистан вместо Telegram‑бота использовался хостинг.

Документ из фишинговой рассылки Lazy Koala, выявленной специалистами TI-департамента PT ESC в мае 2024 года
Документ из фишинговой рассылки Lazy Koala, выявленной специалистами TI‑департамента PT ESC в мае 2024 года

Sapphire Werewolf

Группа Sapphire Werewolf активна с марта 2024 года. Совершила уже более 300 атак на российские организации из различных отраслей. Для кражи данных злоумышленники используют Amethyst — инструмент собственной разработки, созданный на базе инфостилера, с открытым исходным кодом SapphireStealer. Для его доставки злоумышленники рассылали фишинговые письма, маскируя вредоносные вложения под различные юридические документы.

Тепловая карта тактик и техник кибершпионских групп (MITRE ATT&CK)
Тепловая карта тактик и техник кибершпионских групп (MITRE ATT&CK)

Больше про актуальные киберугрозы в СНГ

  • Количество атак на страны СНГ растет: во II квартале 2024 года зафиксировано в 2,6 раза больше атак по сравнению с аналогичным периодом в 2023 году.

  • Наибольшему числу атак в странах СНГ подверглись госучреждения (18%), промышленность (11%) и телекоммуникации (10%). На них нацелены злоумышленники самых разных категорий — начиная с продавцов данных на теневых рынках и заканчивая прогосударственными кибершпионами.

  • Основные методы кибератак в СНГ, как и во всем мире, — использование вредоносного ПО и социальная инженерия. В то же время доля DDoS‑атак в регионе существенно выше общемирового показателя — 18% против 8%.

  • Четверть (26%) кибератак против организаций СНГ были совершены хактивистами. Цели большинства из них — кража данных и DDoS‑атаки.

  • Каждая пятая (22%) атака с использованием ВПО приходится на долю шифровальщиков, из них 88% имеют финансовую мотивацию. Наиболее часто жертвами вымогателей становятся промышленные и производственные предприятия — 21% от всех атак шифровальщиков.

Нашим экспертным центром были разработаны рекомендации по защите для государств и бизнеса. С ними тоже можно ознакомиться на сайте.

Берегите свои данные и знайте мошенников в лицо!


Яна Авезова

Старший аналитик, Positive Technologies

Комментарии (0)