Постыдная книга оборотня, Или из коалы в капибары: кто атакует страны СНГ / forpes.ru

Главная
Постыдная книга оборотня, Или из коалы в капибары: кто атакует страны СНГ

Постыдная книга оборотня, Или из коалы в капибары: кто атакует страны СНГ +6

27.09.2024 09:00

ptsecurity 0 1200 Источник

Не так давно мы рассказывали про атаки киберпреступников в странах Юго‑Восточной Азии. Регион СНГ не отстает по интересу к нему злоумышленников. Одна из основных угроз здесь — атаки кибершпионских групп. В 2023-м и первой половине 2024 года их доля составила 18% от общего числа успешных атак на СНГ в этот период.

В этой статье мы расскажем про APT‑группировки, «работающие» на территории СНГ, и методы, которые они используют в атаках, а также поделимся интересными инсайтами из большого исследования, полную версию которого можно найти на сайте.

Довольно легко проследить связь между телекоммуникационным развитием страны и количеством атак — и там, и там лидирует Россия. Несмотря на то, что РФ остается любимой целью кибершпионских групп, среди стран СНГ она является лидером кибербезопасности (индекс кибербезопасности составляет 71,43).

Соотношение индекса кибербезопасности (NCSI) и ВВП страны

Большая часть группировок, оперирующих в регионе, атакует организации в России и Беларуси. В 2023 и 2024 годах в регионе продолжали деятельность кибергруппировки, известные на протяжении многих лет, например XDSpy и Cloud Atlas. Однако за последние два года появились новые, например Lazy Koala, YoroTrooper, Sticky Werewolf, Hellhounds, (Ex)Cobalt. Ниже приведен краткий обзор 15 кибершпионских групп.

Кибершпионские группы, наиболее активные в странах СНГ в 2023 и 2024 годах

Отрасли, атакуемые кибершпионскими группами в странах СНГ в 2023 и 2024 годах

XDSpy

Группа XDSpy активна как минимум с 2011 года. В СНГ она атакует организации из самых разных отраслей преимущественно в России, Беларуси и Молдавии. В атаках использует одноименный инфостилер, который распространяет через фишинговые рассылки.

Одно из фишинговых писем было отправлено в научно‑исследовательский институт от имени другого НИИ. В тексте была ссылка на файлообменник, откуда загружался файл Zayavlenye.pdf и вредоносное ПО. Письмо выглядело правдоподобно: в подписи был логотип института‑отправителя, в загружаемом файле — отсканированный бланк заявления, заполненного от руки.

Содержимое файла Zayavlenye.pdf из фишинговой рассылки от XDSpy

Cloud Atlas

Cloud Atlas атакуют множество отраслей и стран по всему миру как минимум с 2014 года. В апреле 2023 года злоумышленники рассылали письма в крупные российские организации под видом просьбы о помощи в СВО. В документе использовалась техника Template Injection, о ней наши эксперты уже рассказывали ранее. В конце 2023 года коллеги зафиксировали фишинговые рассылки Cloud Atlas в адрес российской исследовательской госкомпании и агропромышленного предприятия. С февраля по март 2024 года группа совершила не менее пяти атак на госучреждения в России и Белоруссии. В ходе этих атак киберпреступники использовали фишинговые письма с вложениями, которые загружали вредоносные шаблоны с удаленного сервера.

APT31

В разное время атаковала организации в Европе, Канаде и США с 2016 года. Весной и летом 2024 года группировка расширила географию: были зафиксированы кибершпионские кампании против государственных организаций и IT‑компаний в России. Киберпреступники использовали множество различных инструментов, в том числе новый бэкдор CloudSorcerer. В рамках весенней кампании в качестве основных командных серверов для бэкдора они использовали публичные облачные службы. В июле киберпреступники использовали троян, известный с 2021 года, обновленный бэкдор CloudSorcerer и ранее неизвестный имплант, код которого схож с кодом бэкдора Clambling группы APT27.

Space Pirates

Про «пиратов» стало известно в конце 2019 года. Группа активна как минимум с 2017 года. Ребята из комнады Threat Intelligence экспертного центра безопасности Positive Technologies (PT ESC) рассказали, что с момента обнаружения группировка практически не изменила свои тактики и техники, однако разработала новые инструменты и улучшила старые. Среди жертв в 2023 году — государственные и образовательные учреждения, охранные предприятия, промышленность и топливно‑энергетический комплекс, а также компании, занимающиеся информационной безопасностью.

Core Werewolf

Core Werewolf предположительно начала свою деятельность в 2021 году. Ее цель — российские организации военно‑промышленного комплекса, объекты критической информационной инфраструктуры. Злоумышленники рассылают фишинговые письма с вредоносными вложениями, маскирующимися под различные документы — приказы, резюме, методические указания. К примеру, в конце 2023 года во время расследования одного инцидента команда расследования угроз PT ESC обнаружила письмо с фишингового домена fstec[.]support якобы от имени ФСТЭК. В качестве вложения к письмам прилагается самораспаковывающийся архив с клиентом ПО для удаленного доступа UltraVNC.

YoroTrooper

Группа YoroTrooper впервые попала на радары в середине 2022 года. На данный момент активны только в странах СНГ. В период с мая по август 2023 года злоумышленники взломали несколько государственных веб‑сайтов и завладели учетными записями важных государственных лиц. Группа прикладывает усилия, чтобы скрыть свое происхождение, разместив большую часть инфраструктуры в Азербайджане.

(Ex)Cobalt

Название (Ex)Cobalt было присвоено группе Cobalt, известной с 2016 года, после того как несколько лет назад киберпреступники сменили свою деятельность с финансово‑мотивированных атак на кибершпионаж. В 2023 год специалисты PT ESC расследовали атаки киберпреступников, нацеленные на российские организации. Также эксперты обнаружили ранее неизвестный бэкдор GoRed авторства этой группы.

Sticky Werewolf

Как минимум с апреля 2023 года организации в России и Беларуси атакует ранее неизвестная группа Sticky Werewolf. Первые атаки были направлены против госучреждений, однако впоследствии группа заинтересовалась и другими отраслями. Злоумышленники начинают с фишинговых рассылок с вредоносными вложениями, замаскированными под различные документы — предупреждения, заявления, повестки, предписания. Арсенал группы регулярно обновляется. В течение 2023 года на компьютеры жертв доставлялось ВПО для удаленного управления NetWire, Darktrack, Ozone RAT и инфостилер MetaStealer (разновидность RedLine). В 2024 году группа стала использовать инфостилеры Glory и Rhadamanthys.

Mysterious Werewolf

Об атаках еще одних «оборотней», группы Mysterious Werewolf, стало впервые известно в 2023 году. В начале октября наши эксперты обнаружили фишинговые письма, где эксплуатировалась уязвимость CVE-2023–38 831 в WinRAR. При исполнении вредоносных вложений жертвы заражались вредоносом Athena, который является частью фреймворка Mythic. Эту кампанию описали аналитики из Cyble, а позже, в ноябре, коллеги из BiZone дополнили описание и назвали группу Mysterious Werewolf. Целями группы становятся исключительно российские организации. В одной из последних кампаний злоумышленники использовали собственный бэкдор RingSpy, управляемый через Telegram‑бота. С его помощью хакеры получили удаленный доступ к скомпрометированным устройствам.

SneakyChef

Группа известна с 2023 года. В атаках использует троян SugarGh0st — улучшенная модификация известного трояна Gh0st, исходный код которого оказался в публичном доступе в 2008 году. В ноябре 2023 года исследовательская группа Cisco Talos опубликовала отчет, где описала детали кибератаки с использованием трояна на Министерство иностранных дел Узбекистана. Затем в декабре 2023 года эксперты Национального координационного центра информационной безопасности Казахстана выявили фишинговую рассылку, целью которой было заражение SugarGh0st казахстанского госоргана. А уже в июне 2024 года эксперты Cisco Talos поделились подробностями новой кампании операторов SugarGh0st, дав им название SneakyChef. Группа атакует государственные организации через фишинговые рассылки. В качестве приманки использует отсканированные документы госорганов, большинство из которых связаны с министерствами иностранных дел и посольствами различных стран.

Hellhounds

В ноябре 2023 года специалисты PT ESC рассказали об атаках ранее неизвестной группировки Hellhounds, атакующей исключительно российские компании. В атаках использовался доработанный образец бэкдора Decoy Dog, который стал для группы флагманским инструментом. В 2024 году группа продолжила активно атаковать российские компании, и ко второму кварталу число жертв достигло 48. Среди них преимущественно IT‑компании, госучреждения и промышленность.

ReaverBits

Группа обнаружена в январе 2024 года. Злоумышленники рассылают фишинговые письма в адрес российских компаний от имени различных организаций (в том числе от министерств). Первые письма датируются декабрем 2023 года. Через них группа распространяет шпионское ПО MetaStealer — форк распространенного в атаках на СНГ инфостилера RedLine.

PhantomCore

С января 2024 года российские компании активно атакует новая группа кибершпионов PhantomCore. Злоумышленники рассылают фишинговые письма, эксплуатируя уязвимость CVE-2023–38 831, однако вместо ZIP‑архивов используются RAR‑архивы. Жертвы заражаются ранее не описанным трояном удаленного доступа — PhantomRAT. В качестве приманок используются различные служебные документы — договоры, акты сверки, счета‑фактуры.

Lazy Koala

Деятельность группы Lazy Koala впервые была замечана нашими специалистами во время расследования серии атак, направленных на государственные структуры ряда стран СНГ в начале 2024 года. В ходе фишинговых рассылок группа распространяла вредоносное ПО LazyStealer, которое ворует учетные данные из браузеров с дальнейшей пересылкой их в Telegram‑бот. В круг интересов злоумышленников, помимо госучреждений, входят также финансовые и медицинские организации, наука и образование в Азербайджане, Беларуси и Узбекистане. В атаках на Азербайджан и Беларусь злоумышленники изменили формат отправляемых в бот сообщений и сменили ник с Koala на Capybara, а в атаках на Узбекистан вместо Telegram‑бота использовался хостинг.

Sapphire Werewolf

Группа Sapphire Werewolf активна с марта 2024 года. Совершила уже более 300 атак на российские организации из различных отраслей. Для кражи данных злоумышленники используют Amethyst — инструмент собственной разработки, созданный на базе инфостилера, с открытым исходным кодом SapphireStealer. Для его доставки злоумышленники рассылали фишинговые письма, маскируя вредоносные вложения под различные юридические документы.

Тепловая карта тактик и техник кибершпионских групп (MITRE ATT&CK)

Больше про актуальные киберугрозы в СНГ

Количество атак на страны СНГ растет: во II квартале 2024 года зафиксировано в 2,6 раза больше атак по сравнению с аналогичным периодом в 2023 году.
Наибольшему числу атак в странах СНГ подверглись госучреждения (18%), промышленность (11%) и телекоммуникации (10%). На них нацелены злоумышленники самых разных категорий — начиная с продавцов данных на теневых рынках и заканчивая прогосударственными кибершпионами.
Основные методы кибератак в СНГ, как и во всем мире, — использование вредоносного ПО и социальная инженерия. В то же время доля DDoS‑атак в регионе существенно выше общемирового показателя — 18% против 8%.
Четверть (26%) кибератак против организаций СНГ были совершены хактивистами. Цели большинства из них — кража данных и DDoS‑атаки.
Каждая пятая (22%) атака с использованием ВПО приходится на долю шифровальщиков, из них 88% имеют финансовую мотивацию. Наиболее часто жертвами вымогателей становятся промышленные и производственные предприятия — 21% от всех атак шифровальщиков.

Нашим экспертным центром были разработаны рекомендации по защите для государств и бизнеса. С ними тоже можно ознакомиться на сайте.

Берегите свои данные и знайте мошенников в лицо!

Яна Авезова

Старший аналитик, Positive Technologies