Positive Technologies сообщила об атаке новой хакерской группировки на наши госкомпании

  

30 Ноябрь 2023 (17:57)

Positive Technologies сообщила об атаке новой хакерской группировки на наши госкомпании

Экспертный центр безопасности Positive Technologies (PT Expert Security Center) обнаружил новую кибергруппировку, которую назвал Hellhounds; она уже скомпрометировала по меньшей мере 20 российских организаций — больше всего группировку интересуют государственные учреждения, IT-компании, организации космической и энергетической отраслей, сообщает Positive Technologies в четверг.

В октябре 2023 года команда по расследованию инцидентов Positive Technologies обнаружила компрометацию российской энергетической компании с использованием новой модификации трояна Decoy Dog, который позволяет получить управление над зараженными узлами, а также развивать атаку в скомпрометированной инфраструктуре. Злоумышленники доработали ВПО, усложнив обнаружение и анализ, и добавив дополнительный канал обмена данными с оператором (злоумышленником) через новую функцию телеметрии.

«Decoy Dog — интересный и сложный троян, а новая модификация сделала его почти невидимкой. Он хорошо скрывает себя в потоке данных, мимикрируя под легитимный трафик, собирает интересные APT-группировке данные и выгружает их в малоизвестную социальную сеть на основе открытого движка Mastodon», — рассказывает Денис Кувшинов, руководитель отдела исследования угроз информационной безопасности PT Expert Security Center.

Используемые выявленной группировкой инструменты в сочетании с тактиками и техниками не позволяют соотнести их действия ни c одной из ранее известных APT-групп. Новая кибергруппировка, названная экспертами Hellhounds, прикладывает значительные усилия для сокрытия своей активности на узлах и в сети.

Помимо госсектора, IT-компаний, космической и энергетической отраслей, Positive Technologies зафиксировала атаки группы Hellhounds на компании, работающие в сферах строительства, образования, транспорта и логистики, ретейла, телекоммуникаций и безопасности.

Истинные задачи группы Hellhounds пока не известны, однако имеется достоверная информация как минимум об одном факте уничтожения инфраструктуры, за которым последовала остановка деятельности компании-жертвы на некоторое время. Одна из причин успешности атак этой группировки заключается в том, что компании очень редко используют дополнительные системы мониторинга и антивирусы на серверах под управлением Linux.

Эксперты Positive Technologies настоятельно рекомендуют организациям уделять больше внимания защите инфраструктуры на базе Linux. Обнаруженные скомпрометированные узлы в очередной раз подтверждают ошибочность подхода, декларирующего неуязвимость этой ОС и ее ничтожно малую подверженность атакам. Специалисты предлагают использовать лучшие практики по настройке (харденингу) и администрированию систем на базе Linux. Применять дополнительные системы мониторинга, средства антивирусной защиты, продукты класса EDR и систему глубокого анализа промышленного трафика. Также важно мониторить сетевую активность с помощью NTA-систем и проверять безопасность передаваемых объектов с помощью песочницы.