«Лаборатория Касперского» представила первый большой обзор деятельности кибергруппы C.A.S
«Лаборатория Касперского» выпустила отчёт об активности кибергруппы C.A.S (Cyber Anarchy Squad), которая с 2022 г. атакует организации в России и Белоруссии. Основная цель, помимо кражи данных, — нанесение максимального финансового и репутационного ущерба. В числе жертв — организации из различных отраслей, в том числе государственные и коммерческие организации, компании из сферы развлечений и технологий, телекоммуникаций и промышленности. Группа активно использует Telegram в качестве платформы для распространения информации о своих жертвах.
Общие тенденции. В качестве первоначального вектора атаки хактивисты используют не фишинговые письма, как это часто бывает, а уязвимые сервисы. Другой вариант — сотрудничество с другими группами для получения доступа к системам.
Для дальнейшего продвижения по инфраструктуре атакующие используют редкие троянцы удалённого доступа (Remote Access Trojans, RAT) из открытых источников и уязвимости в публично доступных сервисах. Всё это даёт злоумышленникам возможность удалённо управлять заражёнными системами и выполнять различные команды.
Особенности атак. Эксперты «Лаборатории Касперского» прослеживают тенденцию в использовании одинакового арсенала утилит из открытого доступа среди кибергрупп, атакующих Россию и Белоруссию. Так, C.A.S использует связку одних и тех же инструментов для сбора учётных данных: XenAllPasswordsPro, BrowserThief и Mimikatz. XenAllPasswordsPro позволяет извлекать пароли из системных хранилищ, BrowserThief используется для компрометации данных браузеров, включая данные автозаполнения и сохраненные учётные записи, Mimikatz извлекает хэши паролей из оперативной памяти Windows.
Один из факторов, который в ряде случаев способствовал успешной реализации атак, — некорректная настройка действующих в организациях средств защиты: в результате атаки злоумышленникам удавалось получить над ними полный контроль. Чтобы реализовать эффективные меры по предупреждению подобных киберугроз, необходимо обеспечивать корректную настройку защитных решений, а также регулярно обновлять системы безопасности и проводить обучающие тренинги для сотрудников, которые имеют к ним доступ. Кроме того, компаниям следует внедрить строгую парольную политику и следить за её соблюдением.
Кибергруппа C.A.S активно взаимодействует и с другими альянсами, такими как группа DarkStar (Twelve). Совместные действия хактивистов и использование общей инфраструктуры свидетельствуют о формировании более сложной экосистемы атак, где ресурсы, инструменты и доступы делятся между несколькими группами для повышения эффективности и масштабирования операций. Такая стратегия значительно увеличивает их разрушительный потенциал. Для эффективного противодействия таким группам критически важно усиливать киберзащиту, регулярно обновлять средства безопасности, а также внимательно отслеживать активность злоумышленников с помощью сервисов Threat Intelligence.