Российские компании топливно-энергетического и авиапромышленного секторов атаковала новая кибергруппировка

650

Специалисты экспертного центра безопасности компании Positive Technologies выявили новую, ранее неизвестную группировку кибермошенников, получившую название ChamelGang, основными ее целями в России пока являются организации топливно-энергетического комплекса и авиационной промышленности, а интерес злоумышленников направлен на хищение данных из скомпрометированных сетей, сообщила компания.

Первые атаки группы были зарегистрированы в марте 2021 года. Группа производит «атаки через доверительные отношения» — атака, в ходе которой злоумышленники взламывают инфраструктуру сторонней компании, у сотрудников которой есть легитимный доступ к ресурсам жертвы. К примеру, дочерние предприятия могут стать первым звеном в цепочке атаки на головную организацию, в других случаях атака может начинаться со взлома компании, обеспечивающей техническую поддержку. Такие атаки связаны с компрометацией доверенных каналов (например, VPN), тогда как атаки через цепочку поставки, с которыми их нередко путают, проводятся с помощью программно-аппаратных средств — в само средство или в часть обновления внедряется имплант, который предоставляет прямой доступ к серверу или устанавливает связь с центром управления.

По сообщению специалистов, для получения доступа в сеть целевого предприятия в первом случае группа скомпрометировала дочернюю организацию, используя уязвимую версию веб-приложения на платформе с открытым исходным кодом JBoss Application Server. Проэксплуатировав уязвимость, закрытую поставщиком Red Hat более четырех лет назад, хакеры получили возможность удаленного исполнения команд на узле. Спустя две недели группа смогла скомпрометировать головную компанию: злоумышленники узнали словарный пароль локального администратора на одном из серверов в изолированном сегменте и проникли в ее сеть. Оставаясь необнаруженными, атакующие находились в корпоративной сети в течение трех месяцев; изучив ее, они получили контроль над большей ее частью, включая критически важные серверы и узлы в разных сегментах. Как показало расследование, группировку интересовали данные, которые им и удалось похитить.

Во втором случае для проникновения в инфраструктуру злоумышленники воспользовались цепочкой связанных уязвимостей в Microsoft Exchange — ProxyShell. О ней стало известно в публичном поле в августе этого года, и за прошедшие полтора месяца она активно эксплуатировалась различными АРТ-группами. Злоумышленники получили доступ к почтовым серверам компании, использовав бэкдор, который на момент атаки не определялся большинством антивирусных решений. Как и в первом случае, группировка была нацелена на хищение данных, однако оперативное обнаружение APT-группы и противодействие ей позволило предотвратить хищение данных: злоумышленники присутствовали в инфраструктуре атакованной организации всего восемь дней и значимого ущерба нанести не успели.

Отличительной особенностью атак группы ChamelGang является использование нового, ранее никем не описанного вредоносного ПО, сообщает ИБ-компания.

Свое название ChamelGang (от англ. chameleon) группировка получила за использование правдоподобных фишинговых доменов и особенностей операционных систем для маскировки вредоносного ПО и сетевой инфраструктуры. Например, злоумышленники регистрируют фишинговые домены, имитирующие легитимные сервисы крупных международных компаний — Microsoft, TrendMicro, McAfee, IBM и Google, — в том числе их сервисы поддержки, доставки контента и обновлений. В ходе изучения активности группировки специалисты PT ESC обнаружили домены newtrendmicro.com, centralgoogle.com, microsoft-support.net, cdn-chrome.com, mcafee-upgrade.com. Также на своих серверах APT-группа размещала SSL-сертификаты, которые имитировали легитимные (github.com, www.ibm.com, jquery.com, update.microsoft-support.net).

Эксперты Positive Technologies пока не отнесли ChamelGang к какой-либо конкретной стране. Помимо того, что APT-группировка нацелена на ТЭК и авиационную промышленность России, ее жертвами, согласно полученным данным, также стали учреждения в десяти странах, в числе которых Индия, Непал, США, Тайвань, Япония и Германия. При этом в некоторых странах специалисты PT ESC обнаружили скомпрометированные правительственные серверы. Все пострадавшие компании получили уведомления по линии национальных CERT.

Следите за нашим Телеграм-каналом, чтобы не пропускать самое важное!

Поделиться: