Light mode

Кто атакует страны СНГ

  • #Атаки
  • #ВПО

О чем статья

Кратко рассказываем о 15 APT-группировках, которые действовали на территории СНГ в 2023-м и первой половине 2024 г.

Одна из основных ИБ-угроз в странах СНГ — атаки кибершпионских групп. В 2023–2024 гг. их доля составила 18% от общего числа успешных кибератак. В регионе активно «работают» как давно известные группировки вроде XDSpy, так и новые: Lazy Koala, YoroTrooper, Sticky Werewolf и другие (см. рис. 1). 

Рисунок 1. Наиболее активные в странах СНГ кибершпионские группы
Рисунок 2. Отрасли, атакуемые кибершпионскими группами в странах СНГ в 2023 и 2024 гг. 

XDSpy

Группа активна как минимум с 2011 года. В СНГ XDSpy чаще всего атакует организации из России, Белоруссии и Молдавии. Злоумышленники используют одноименный инфостилер и распространяют его через фишинговые рассылки.

XDSpy атакует организации из разных отраслей. К примеру, одно из фишинговых писем было отправлено в научно исследовательский институт от имени другого НИИ. Оно содержало ссылку на файлообменник, откуда загружался вредоносный файл Zayavlenye.pdf. Письмо выглядело правдоподобно: в подписи был логотип института отправителя, а в загружаемом файле — отсканированное заявление, заполненное от руки.

Рисунок 3. Фишинговое письмо XDSpy
Рисунок 4. Файл Zayavlenye.pdf из фишинговой рассылки XDSpy

Cloud Atlas

Cloud Atlas действует как минимум с 2014 года. В апреле 2023-го злоумышленники рассылали письма в крупные российские организации под видом сбора средств на нужды СВО. Во вредоносных документах использовалась техника Template Injection. Затем, в конце того же года, коллеги из F.A.C.C.T. зафиксировали фишинговые рассылки в адрес российской исследовательской госкомпании и агропромышленного предприятия. Также с февраля по март 2024 года группа совершила не менее пяти атак на госучреждения в России и Белоруссии. В ходе этих атак киберпреступники использовали фишинговые письма с вложениями, которые загружали вредоносы с удаленного сервера.

Рисунок 5. Фишинговое письмо Cloud Atlas 

APT31

Группировка известна с 2016 года. Ее изначальными целями были организации в Европе, Канаде и США, однако весной и летом 2024-го злоумышленники начали атаковать госсектор и ИТ компании в России. Отметим, что в рамках весенней кампании киберпреступники использовали новый бэкдор CloudSorcerer. В летних атаках киберпреступники применяли троян GrewApacha, обновленный CloudSorcerer и ранее неизвестный имплант PlugY, схожий с бэкдором Clambling группы APT27.

Space Pirates

Мы обнаружили «пиратов» в конце 2019 года, но активна группа как минимум с 2017-го. При этом команда PT ESC Threat Intelligence выяснила, что с момента обнаружения злоумышленники разработали новые вредоносные инструменты и улучшили имеющиеся. Среди жертв в 2023 году — государственные и образовательные учреждения, охранные предприятия, промышленность, топливно энергетический комплекс, а также компании, занимающиеся кибербезопасностью.

Core Werewolf

Core Werewolf, предположительно, начала свою деятельность в 2021 году. Основная цель группировки — российские организации военно промышленного комплекса и объекты КИИ. Злоумышленники рассылают фишинговые письма с вредоносными вложениями, замаскированными под различные документы: приказы, резюме, методические указания. 

К примеру, в конце 2023 года во время расследования инцидента команда PT ESC обнаружила письмо с фишингового домена fstec[.]support якобы от имени ФСТЭК. К нему прилагался самораспаковывающийся архив с ПО для удаленного доступа — UltraVNC.

Рисунок 6. Вредоносное вложение из рассылки Core Werewolf

YoroTrooper

Группа впервые попала на радары в 2022 году и пока действует только в странах СНГ. С мая по август 2023-го злоумышленники взломали несколько государственных сайтов и завладели рядом важных учетных записей. Группировка скрывает свое происхождение, но известно, что большая часть инфраструктуры YoroTrooper размещена в Азербайджане.

Рисунок 7. Фишинговая рассылка YoroTrooper

(Ex)Cobalt

Группа Cobalt известна с 2016 года, но после смены профиля — с финансово-мотивированных атак на кибершпионаж — ей было присвоено название (Ex)Cobalt. Специалисты PT ESC расследовали атаки киберпреступников, нацеленные на российские организации, и обнаружили ранее неизвестный бэкдор GoRed авторства этой группировки.

Sticky Werewolf

Sticky Werewolf атакует организации в России и Белоруссии как минимум с апреля 2023 года. Первые атаки были направлены на госучреждения, однако впоследствии группа заинтересовалась и другими отраслями. Злоумышленники рассылают фишинговые письма с вредоносными вложениями, замаскированными под заявления, повестки, предписания и другие документы. При этом арсенал группы регулярно обновляется. Так, в 2023 году злоумышленники использовали ВПО для удаленного управления NetWire, Darktrack RAT, Ozone RAT и инфостилер MetaStealer (разновидность RedLine), а в 2024-м стали применять инфостилеры Glory и Rhadamanthys.

Mysterious Werewolf

Еще одни «оборотни» — группа Mysterious Werewolf — стали известны в 2023 году. Атаки злоумышленников нацелены исключительно на российские организации. Наши эксперты обнаружили фишинговые письма, эксплуатирующие уязвимость CVE-2023–38831 в WinRAR. При исполнении вложений устройства жертв заражались вредоносом Athena (является частью фреймворка Mythic). Кампанию описали аналитики из Cyble, а коллеги из BI.Zone дополнили информацию и присвоили группе текущее название. Отметим, что в одной из последних кампаний злоумышленники использовали собственный бэкдор RingSpy, который управляется через Telegram-бота.

SneakyChef

Группа известна с 2023 года и атакует государственные организации через фишинговые рассылки. Злоумышленники используют троян SugarGh0st (модификация вредоноса Gh0st), а в качестве приманки используют отсканированные документы (большинство из них связаны с министерствами иностранных дел и посольствами).

В ноябре 2023 года исследовательская группа Cisco Talos опубликовала отчет, в котором описала детали кибератаки на Министерство иностранных дел Узбекистана. Затем, в декабре 2023-го, эксперты НКЦИБ Казахстана выявили фишинговую рассылку, нацеленную на один из госорганов Республики. А уже в июне 2024 года Cisco Talos поделились подробностями новой кампании и дали группировке название SneakyChef.

Hellhounds

В ноябре 2023 года специалисты PT ESC рассказали о ранее неизвестной группировке Hellhounds, атакующей исключительно российские компании (в основном ИТ-сектор, госучреждения и промышленность). Флагманским инструментом группы стал доработанный образец бэкдора Decoy Dog. В 2024-м группа продолжила активно атаковать российские компании: ко второму кварталу число жертв достигло 48. Подробности ищите здесь.

ReaverBits

Группа впервые попала на радары в январе 2024 года. Злоумышленники рассылают фишинговые письма в адрес российских компаний, в том числе от имени разных министерств (первые письма датируются декабрем 2023-го). Группировка использует шпионское ПО MetaStealer — форк инфостилера RedLine, который часто применяется в атаках на страны СНГ.

PhantomCore

С января 2024 года российские компании активно атакует новая группа PhantomCore. Злоумышленники рассылают фишинговые письма, эксплуатирующие уязвимость CVE-2023–38831, однако вместо ZIP- используются RAR-архивы. Жертвы заражаются ранее неизвестным трояном PhantomRAT. В качестве приманок PhantomCore применяют служебные документы: договоры, акты сверки, счет-фактуры.

В июне 2024-го эксперты PT ESC также зафиксировали фишинговые рассылки PhantomCore в адрес белорусских учреждений.

Рисунок 8. Документ-приманка из фишинговой рассылки PhantomCore в белорусские учреждения 

Lazy Koala

Мы впервые заметили группу во время расследования серии атак на госструктуры стран СНГ в начале 2024 года. С помощью фишинговых рассылок злоумышленники распространяли ВПО LazyStealer, которое ворует учетные данные из браузеров и пересылает их в Telegram бот. 

Помимо госучреждений в круг интересов Lazy Koala входят финансовые и медицинские организации, а также сфера науки и образования. Отметим, что в атаках на Азербайджан и Белоруссию злоумышленники изменили формат отправляемых в Telegram-бот сообщений и сменили ник с Koala на Capybara. А в атаках на Узбекистан вместо бота использовали хостинг.

Рисунок 9. Документ-приманка из рассылки Lazy Koala

Sapphire Werewolf

Sapphire Werewolf активна с марта 2024 года и уже совершила более 300 атак на российские организации из разных отраслей. Для кражи данных злоумышленники используют собственный инструмент Amethyst, созданный на базе инфостилера с открытым исходным кодом — SapphireStealer. Для его доставки злоумышленники рассылают фишинговые письма и маскируют вредоносные вложения под юридические документы.

Рисунок 10. Тепловая карта тактик и техник кибершпионских групп (MITRE ATT&CK)

Кибершпионские группы в СНГ

  • Количество атак растет: во II квартале 2024 года зафиксировано в 2,6 раз больше атак, чем за аналогичный период 2023 года.
  • Чаще всего атакам подвергались госучреждения (18%), промышленный сектор (11%) и телеком-компании (10%). 
  • Основными методами кибератак в СНГ, как и в остальном мире, остаются использование ВПО и социальная инженерия. В то же время доля DDoS атак в регионе существенно выше общемирового показателя — 18% против 8%.
  • 26% кибератак совершили хактивисты.
  • Каждая пятая атака на организации с использованием ВПО приходится на долю шифровальщиков, при этом 88% кейсов имеют финансовую подоплеку. Чаще всего жертвами вымогателей становятся промышленные и производственные компании — 21% от общего числа атак.

Полную версию исследования читайте на нашем сайте

Мы дěлаем Positive Research → для ИБ-экспертов, бизнеса и всех, кто интересуется ✽ {кибербезопасностью}