Постыдная книга оборотня, Или из коалы в капибары: кто атакует страны СНГ
Не так давно мы рассказывали про атаки киберпреступников в странах Юго-Восточной Азии. Регион СНГ не отстает по интересу к нему злоумышленников. Одна из основных угроз здесь — атаки кибершпионских групп. В 2023-м и первой половине 2024 года их доля составила 18% от общего числа успешных атак на СНГ в этот период.
В этой статье мы расскажем про APT-группировки, «работающие» на территории СНГ, и методы, которые они используют в атаках, а также поделимся интересными инсайтами из большого исследования, полную версию которого можно найти на сайте.
Довольно легко проследить связь между телекоммуникационным развитием страны и количеством атак — и там, и там лидирует Россия. Несмотря на то, что РФ остается любимой целью кибершпионских групп, среди стран СНГ она является лидером кибербезопасности (индекс кибербезопасности составляет 71,43).
Большая часть группировок, оперирующих в регионе, атакует организации в России и Беларуси. В 2023 и 2024 годах в регионе продолжали деятельность кибергруппировки, известные на протяжении многих лет, например XDSpy и Cloud Atlas. Однако за последние два года появились новые, например Lazy Koala, YoroTrooper, Sticky Werewolf, Hellhounds, (Ex)Cobalt. Ниже приведен краткий обзор 15 кибершпионских групп.
Кибершпионские группы, наиболее активные в странах СНГ в 2023 и 2024 годах
Отрасли, атакуемые кибершпионскими группами в странах СНГ в 2023 и 2024 годах
XDSpy
Группа XDSpy активна как минимум с 2011 года. В СНГ она атакует организации из самых разных отраслей преимущественно в России, Беларуси и Молдавии. В атаках использует одноименный инфостилер, который распространяет через фишинговые рассылки.
Одно из фишинговых писем было отправлено в научно-исследовательский институт от имени другого НИИ. В тексте была ссылка на файлообменник, откуда загружался файл Zayavlenye.pdf и вредоносное ПО. Письмо выглядело правдоподобно: в подписи был логотип института-отправителя, в загружаемом файле — отсканированный бланк заявления, заполненного от руки.
Фишинговое письмо от XDSpy
Содержимое файла Zayavlenye.pdf из фишинговой рассылки от XDSpy
Cloud Atlas
Cloud Atlas атакуют множество отраслей и стран по всему миру как минимум с 2014 года. В апреле 2023 года злоумышленники рассылали письма в крупные российские организации под видом просьбы о помощи в СВО. В документе использовалась техника Template Injection, о ней наши эксперты уже рассказывали ранее. В конце 2023 года коллеги зафиксировали фишинговые рассылки Cloud Atlas в адрес российской исследовательской госкомпании и агропромышленного предприятия. С февраля по март 2024 года группа совершила не менее пяти атак на госучреждения в России и Белоруссии. В ходе этих атак киберпреступники использовали фишинговые письма с вложениями, которые загружали вредоносные шаблоны с удаленного сервера.
Фишинговое письмо группы Cloud Atlas под видом просьбы помощи в СВО
APT31
В разное время атаковала организации в Европе, Канаде и США с 2016 года. Весной и летом 2024 года группировка расширила географию: были зафиксированы кибершпионские кампании против государственных организаций и IT-компаний в России. Киберпреступники использовали множество различных инструментов, в том числе новый бэкдор CloudSorcerer. В рамках весенней кампании в качестве основных командных серверов для бэкдора они использовали публичные облачные службы. В июле киберпреступники использовали троян, известный с 2021 года, обновленный бэкдор CloudSorcerer и ранее неизвестный имплант, код которого схож с кодом бэкдора Clambling группы APT27.
Space Pirates
Про «пиратов» стало известно в конце 2019 года. Группа активна как минимум с 2017 года. Ребята из комнады Threat Intelligence экспертного центра безопасности Positive Technologies (PT ESC) рассказали, что с момента обнаружения группировка практически не изменила свои тактики и техники, однако разработала новые инструменты и улучшила старые. Среди жертв в 2023 году — государственные и образовательные учреждения, охранные предприятия, промышленность и топливно-энергетический комплекс, а также компании, занимающиеся информационной безопасностью.
Core Werewolf
Core Werewolf предположительно начала свою деятельность в 2021 году. Ее цель — российские организации военно-промышленного комплекса, объекты критической информационной инфраструктуры. Злоумышленники рассылают фишинговые письма с вредоносными вложениями, маскирующимися под различные документы — приказы, резюме, методические указания. К примеру, в конце 2023 года во время расследования одного инцидента команда расследования угроз PT ESC обнаружила письмо с фишингового домена fstec[.]support якобы от имени ФСТЭК. В качестве вложения к письмам прилагается самораспаковывающийся архив с клиентом ПО для удаленного доступа UltraVNC.
Вредоносное вложение из фишинговой рассылки Core Werewolf, выявленное специалистами PT ESC в I квартале 2024 года
YoroTrooper
Группа YoroTrooper впервые попала на радары в середине 2022 года. На данный момент активны только в странах СНГ. В период с мая по август 2023 года злоумышленники взломали несколько государственных веб-сайтов и завладели учетными записями важных государственных лиц. Группа прикладывает усилия, чтобы скрыть свое происхождение, разместив большую часть инфраструктуры в Азербайджане.
Вредоносное вложение из фишинговой рассылки YoroTrooper, выявленное специалистами TI-департамента PT ESC в 2023 году
(Ex)Cobalt
Название (Ex)Cobalt было присвоено группе Cobalt, известной с 2016 года, после того как несколько лет назад киберпреступники сменили свою деятельность с финансово-мотивированных атак на кибершпионаж. В 2023 год специалисты PT ESC расследовали атаки киберпреступников, нацеленные на российские организации. Также эксперты обнаружили ранее неизвестный бэкдор GoRed авторства этой группы.
Sticky Werewolf
Как минимум с апреля 2023 года организации в России и Беларуси атакует ранее неизвестная группа Sticky Werewolf. Первые атаки были направлены против госучреждений, однако впоследствии группа заинтересовалась и другими отраслями. Злоумышленники начинают с фишинговых рассылок с вредоносными вложениями, замаскированными под различные документы — предупреждения, заявления, повестки, предписания. Арсенал группы регулярно обновляется. В течение 2023 года на компьютеры жертв доставлялось ВПО для удаленного управления NetWire, Darktrack, Ozone RAT и инфостилер MetaStealer (разновидность RedLine). В 2024 году группа стала использовать инфостилеры Glory и Rhadamanthys.
Mysterious Werewolf
Об атаках еще одних «оборотней», группы Mysterious Werewolf, стало впервые известно в 2023 году. В начале октября наши эксперты обнаружили фишинговые письма, где эксплуатировалась уязвимость CVE-2023–38831 в WinRAR. При исполнении вредоносных вложений жертвы заражались вредоносом Athena, который является частью фреймворка Mythic. Эту кампанию описали аналитики из Cyble, а позже, в ноябре, коллеги из BiZone дополнили описание и назвали группу Mysterious Werewolf. Целями группы становятся исключительно российские организации. В одной из последних кампаний злоумышленники использовали собственный бэкдор RingSpy, управляемый через Telegram-бота. С его помощью хакеры получили удаленный доступ к скомпрометированным устройствам.
SneakyChef
Группа известна с 2023 года. В атаках использует троян SugarGh0st — улучшенная модификация известного трояна Gh0st, исходный код которого оказался в публичном доступе в 2008 году. В ноябре 2023 года исследовательская группа Cisco Talos опубликовала отчет, где описала детали кибератаки с использованием трояна на Министерство иностранных дел Узбекистана. Затем в декабре 2023 года эксперты Национального координационного центра информационной безопасности Казахстана выявили фишинговую рассылку, целью которой было заражение SugarGh0st казахстанского госоргана. А уже в июне 2024 года эксперты Cisco Talos поделились подробностями новой кампании операторов SugarGh0st, дав им название SneakyChef. Группа атакует государственные организации через фишинговые рассылки. В качестве приманки использует отсканированные документы госорганов, большинство из которых связаны с министерствами иностранных дел и посольствами различных стран.
Hellhounds
В ноябре 2023 года специалисты PT ESC рассказали об атаках ранее неизвестной группировки Hellhounds, атакующей исключительно российские компании. В атаках использовался доработанный образец бэкдора Decoy Dog, который стал для группы флагманским инструментом. В 2024 году группа продолжила активно атаковать российские компании, и ко второму кварталу число жертв достигло 48. Среди них преимущественно IT-компании, госучреждения и промышленность.
ReaverBits
Группа обнаружена в январе 2024 года. Злоумышленники рассылают фишинговые письма в адрес российских компаний от имени различных организаций (в том числе от министерств). Первые письма датируются декабрем 2023 года. Через них группа распространяет шпионское ПО MetaStealer — форк распространенного в атаках на СНГ инфостилера RedLine.
PhantomCore
С января 2024 года российские компании активно атакует новая группа кибершпионов PhantomCore. Злоумышленники рассылают фишинговые письма, эксплуатируя уязвимость CVE-2023–38831, однако вместо ZIP-архивов используются RAR-архивы. Жертвы заражаются ранее не описанным трояном удаленного доступа — PhantomRAT. В качестве приманок используются различные служебные документы — договоры, акты сверки, счета-фактуры.
Вредоносное вложение из фишинговой рассылки PhantomCore в Белорусские учреждения
Lazy Koala
Деятельность группы Lazy Koala впервые была замечана нашими специалистами во время расследования серии атак, направленных на государственные структуры ряда стран СНГ в начале 2024 года. В ходе фишинговых рассылок группа распространяла вредоносное ПО LazyStealer, которое ворует учетные данные из браузеров с дальнейшей пересылкой их в Telegram-бот. В круг интересов злоумышленников, помимо госучреждений, входят также финансовые и медицинские организации, наука и образование в Азербайджане, Беларуси и Узбекистане. В атаках на Азербайджан и Беларусь злоумышленники изменили формат отправляемых в бот сообщений и сменили ник с Koala на Capybara, а в атаках на Узбекистан вместо Telegram-бота использовался хостинг.
Документ из фишинговой рассылки Lazy Koala, выявленной специалистами TI-департамента PT ESC в мае 2024 года
Sapphire Werewolf
Группа Sapphire Werewolf активна с марта 2024 года. Совершила уже более 300 атак на российские организации из различных отраслей. Для кражи данных злоумышленники используют Amethyst — инструмент собственной разработки, созданный на базе инфостилера, с открытым исходным кодом SapphireStealer. Для его доставки злоумышленники рассылали фишинговые письма, маскируя вредоносные вложения под различные юридические документы.
Тепловая карта тактик и техник кибершпионских групп (MITRE ATT&CK)
Больше про актуальные киберугрозы в СНГ
Количество атак на страны СНГ растет: во II квартале 2024 года зафиксировано в 2,6 раза больше атак по сравнению с аналогичным периодом в 2023 году.
Наибольшему числу атак в странах СНГ подверглись госучреждения (18%), промышленность (11%) и телекоммуникации (10%). На них нацелены злоумышленники самых разных категорий — начиная с продавцов данных на теневых рынках и заканчивая прогосударственными кибершпионами.
Основные методы кибератак в СНГ, как и во всем мире, — использование вредоносного ПО и социальная инженерия. В то же время доля DDoS-атак в регионе существенно выше общемирового показателя — 18% против 8%.
Четверть (26%) кибератак против организаций СНГ были совершены хактивистами. Цели большинства из них — кража данных и DDoS-атаки.
Каждая пятая (22%) атака с использованием ВПО приходится на долю шифровальщиков, из них 88% имеют финансовую мотивацию. Наиболее часто жертвами вымогателей становятся промышленные и производственные предприятия — 21% от всех атак шифровальщиков.
Нашим экспертным центром были разработаны рекомендации по защите для государств и бизнеса. С ними тоже можно ознакомиться на сайте.
Берегите свои данные и знайте мошенников в лицо!
Яна Авезова Старший аналитик, Positive Technologies
