Поделиться
Эксперты RED Security и CICADA8 выявили новую хакерскую группировку Cloaked Shadow
Эксперты компаний RED Security и СICADA8 выявили новую APT-группировку Cloaked Shadow, ориентированную на шпионаж в крупнейших российские компаниях. Группировка ведет сложные целенаправленные атаки на организации сфер ИТ и промышленности. Об этом CNews сообщили представители RED Security.
Злоумышленники используют продвинутые техники маскирования, которые усложняют детектирование их активности в ИТ-инфраструктуре и позволяет им длительное время оставаться незаметными для средств защиты. Кроме того, группировка применяет вредоносное ПО собственной разработки, которое в каждом случае кастомизируется под инфраструктуру компании-жертвы, что дает возможность говорить о тщательной подготовке и целенаправленном характере атак.
Злоумышленники проникают в организации, эксплуатируя уязвимости на внешних сервисах. Для подключения к внутренней инфраструктуре Cloaked Shadow используют различные инструменты с открытым исходным кодом, которые не вызывают срабатываний со стороны технических средств защиты. Далее, если хакеры Cloaked Shadow оказываются в Linux-инфраструктуре, закрепление проводится преимущественно через системные службы ОС. В Windows-инфраструктуре закрепление происходит с помощью запланированных задач.
За первичным проникновением следует этап повышения привилегий, целью которого является дальнейшее перемещение вглубь инфраструктуры жертвы. Для этого в зависимости от специфики инфраструктуры взломанной компании Cloaked Shadow использует легитимные учетные записи, утилиты, позволяющие сделать дамп системного процесса lssas, уязвимости серии ESC, а также кражу базы данных ntds.dit, которая содержит информацию обо всех учетных записях сотрудников организации.
Повысив привилегии, злоумышленники строят длинные цепочки серверов внутри локальных инфраструктур жертв. Этот метод используется для дальнейшего продвижения и сокрытия своей активности. Он существенно усложняет поиск источника вредоносной активности и, как следствие, блокировку действий хакеров. На этом этапе Cloaked Shadow начинает обширную эксфильтрацию информации о компании, собирая данные домашних директорий пользователей, паролей, ключей, сертификатов, документов и других объектов, которые могут представлять интерес в рамках шпионажа.
Для того чтобы как можно дольше оставаться незамеченными, Cloaked Shadow применяет продвинутые методы обхода средств защиты и противодействия расследованиям. Прежде всего, это использование легитимных компонентов операционной системы, а также отключение сбора и удаление логов из всех систем журналирования. Также киберпреступники скрывают вредоносную активность, встраивая ее в системные процессы, и маскируют адреса своих серверов, чтобы обращение к ним со стороны зараженных рабочих станций и серверов не вызывало срабатываний средств защиты.
Cloaked Shadow использует вредоносное ПО собственной разработки, которое регулярно модифицируется и совершенствуется. Оно представляет собой бэкдор, который в каждом случае кастомизирован под инфраструктуру конкретной компании. Это позволяет сделать вывод, что Cloaked Shadow ведет точечные целевые, а не массовые атаки. Вредоносное ПО, применяемое группировкой, также имеет механизм обхода блокировки доступа к серверам злоумышленников.
«Раскрытая нами группировка является достаточно опытной и организованной, а также имеет достаточные человеческие и финансовые ресурсы для сложных целенаправленных атак. Cloaked Shadow активно использует хакерские инструменты, комбинируя этот подход с использованием своего ВПО. В настоящий момент мы продолжаем отслеживать ее активность и расширяем набор индикаторов для ее оперативного выявления», – сказал Никита Полосухин, ведущий аналитик центра мониторинга и реагирования на кибератаки RED Security SOC.
«Инструменты атакующих нередко могут быть выявлены проверкой целостности установленных пакетов и поиском исполняемых файлов, не входящих в какой-либо установленный пакет. Поэтому мы настоятельно рекомендуем проводить мониторинг, контроль целостности и инвентаризацию исполняемых файлов и обязательно изучать аномалии в случае их обнаружения. Также следует уделить внимание контролю над привилегированным доступом, включая регулярную инвентаризацию ключей для аутентификации по протоколу SSH», – сказал Максим Суханов, руководитель направления обнаружения киберугроз и реагирования на инциденты CICADA8.
Эксперты RED Security SOC опубликовали на сайте компании индикаторы компрометации и полный разбор активности группировки Cloaked Shadow, чтобы помочь российским компаниям в выявлении данных целенаправленных атак на ранней стадии.
Поделиться
Короткая ссылка
