|
«Лаборатория Касперского» опубликовала подробный отчет о деятельности группировки Head Mare, жертвами которой стали организации из России и Белоруссии. Эксперты проанализировали, как происходят атаки и какие инструменты используют злоумышленники. В частности, мы установили связи с целевые атаки нацелены на российские организации, использующие вредоносное ПО PhantomDL.
Head Mare можно отнести к хактивистским группировкам, возникшим за последние два года. Впервые об этом было объявлено в 2023 году. Группа атакует российские компании и Беларусьего цель, вероятно, состоит в том, чтобы нанести им максимальный ущерб. Злоумышленники размещают в публичных аккаунтах информацию о жертвах, включая названия организаций, внутренние документы, скриншоты рабочих столов и административных консолей. На момент проведения исследования группа объявила о девяти атакованных компаниях в различных секторах – государственном секторе, транспорт, энергияпроизводство, развлечения.
В отличие от других групп хактивистов, Head Mare не ограничивается общедоступными инструментами: например, она использует сложные фишинговые кампании для получения первоначального доступа, используя уязвимость в WinRAR, которая позволяет ей запускать собственное вредоносное ПО. Это говорит о том, что злоумышленники совершенствуют свои методы, тактику и процедуры, чтобы сделать свои атаки более эффективными.
Стандартные инструменты. Как и большинство групп хактивистов, Head Mare в основном использует общедоступное вредоносное ПО. Например, для шифрования файлов, что является конечной целью атаки, используются два семейства вредоносных программ: Блокировочный бит Для Окна и Бабук для Линукс (ESXi). Однако, в отличие от групп хактивистов, которые не преследуют финансовый преимущества, Head Mare требует выкуп за зашифрованные файлы.
Собственные инструменты. Чтобы получить первоначальный доступ, злоумышленники делают фишинговые письма. Письма содержат вредоносный архив с фиктивными документами, эксплуатирующими уязвимость CVE-2023-38831 в WinRAR. Если жертва откроет прикрепленный документ, вредоносный файл запустится и установится на ее устройство. вредоносное ПО — PhantomDL и PhantomCore.
Недавно «Лаборатория Касперского» сообщили об увеличении числа нападений на Русский организации, использующие PhantomDL. Вредоносная программа может использоваться для установки и запуска различных вредоносных утилит, в том числе для удаленного администрирования. Это позволит не только контролировать компьютер жертвы, но и загружать с него файлы. на сервер злоумышленники. Собранные данные показывают, что нападения связаны с Хед Маре.
Для защиты от подобных атак специалисты «Лаборатории Касперского» рекомендуют организациям: регулярно обновлять программное обеспечение на всех устройствах, чтобы злоумышленники не могли воспользоваться уязвимостями и проникнуть в корпоративную сеть; используйте сложные уникальные пароли для защиты бизнес-аккаунтов и регулярно обновляйте их, а также реализуйте множество факторов аутентификация; использовать комплексные решения безопасности, такие как Касперский Симфониячто позволит вам построить гибкую и эффективную систему безопасности, включающую обеспечение надежной защиты рабочие меставыявление и пресечение атак любой сложности на самых ранних стадиях, сбор актуальных данных о кибератаках по всему миру и обучение сотрудников базовые навыки цифровая культура; предоставить персоналу кибербезопасности доступ к актуальной информации о новейших тактиках, методах и процедурах. злоумышленникнапример, с помощью сервисов Разведка угроз; Проводите регулярные тренинги для сотрудников, чтобы снизить шансы на успешные атаки с использованием фишингнапример, с помощью онлайн-платформы Автоматизированная платформа информирования о безопасности Касперского. Для развития навыков специалистов по информационной безопасности целесообразно повышение квалификации у специалистов «Лаборатории Касперского».