В РФ обнаружили новую хакерскую группировку

Компании RED Security и СICADA8 обнаружили новую APT-группировку Cloaked Shadow, которая занимается шпионажем в крупнейших российских компаниях в ИТ и промышленности. В своих атаках они применяют продвинутые техники маскирования, из-за которых труднее отследить хакеров, и они остаются незамеченными. Также группировка использует собственное вредоносное ПО, которое в каждом случае подстраивается под инфраструктуру компании-жертвы.

Злоумышленники проникают в организации, используя уязвимости на внешних сервисах. Для подключения к внутренней инфраструктуре Cloaked Shadow им помогают различные инструменты с открытым исходным кодом, на которые не реагируют технические средства защиты. Когда злоумышленники Cloaked Shadow оказываются в Linux-инфраструктуре, закрепление проводится через системные службы ОС. В Windows-инфраструктуре закрепление происходит с помощью запланированных задач. 

После этого хакеры стремятся попасть внутрь инфраструктуры компании-жертвы. Для этого они используют легитимные учетные записи, уязвимости серии ESC, а также базу данных ntds.dit, где хранятся данные обо всех учетных записях сотрудников организации. 

Повысив привилегии, злоумышленники строят длинные цепочки серверов внутри локальных инфраструктур жертв, что позволяет скрыть их активность и избежать блокировки. Здесь Cloaked Shadow начинает обширную эксфильтрацию информации о компании, ищет данные домашних директорий пользователей, паролей, ключей, сертификатов, документов и других объектов, которые могут представлять для них интерес.

Также, чтобы избежать обнаружения, Cloaked Shadow применяет продвинутые методы обхода средств защиты и противодействия расследованиям. К ним относятся использование легитимных компонентов операционной системы, а также отключение сбора и удаление логов из всех систем журналирования. Помимо этого, киберпреступники прячут вредоносную деятельность, встраивая ее в системные процессы, маскируют адреса своих серверов. 

Ранее редакция IT Speaker писала о злоумышленниках из группировки ТА558, которые совершили крупную фишинговую атаку, направленную на российские и белорусские компании из различных отраслей. Их действия затронули компании из финансовой, логистической, строительной, туристической и промышленной сфер. Всего за один день злоумышленники с помощью специального софта разослали письма более чем 76 тыс. жертв из 112 стран мира.