Positive Technologies сообщила об атаке новой хакерской группировки на наши госкомпании

  

Экспертный центр безопасности Positive Technologies (PT Expert Security Center) обнаружил новую кибергруппировку, которую назвал Hellhounds; она уже скомпрометировала по меньшей мере 20 российских организаций — больше всего группировку интересуют гос...

Нояб 30, 2023
Positive Technologies сообщила об атаке новой хакерской группировки на наши госкомпании

Экспертный центр безопасности Positive Technologies (PT Expert Security Center) обнаружил новую кибергруппировку, которую назвал Hellhounds; она уже скомпрометировала по меньшей мере 20 российских организаций — больше всего группировку интересуют государственные учреждения, IT-компании, организации космической и энергетической отраслей, сообщает Positive Technologies в четверг.

В октябре 2023 года команда по расследованию инцидентов Positive Technologies обнаружила компрометацию российской энергетической компании с использованием новой модификации трояна Decoy Dog, который позволяет получить управление над зараженными узлами, а также развивать атаку в скомпрометированной инфраструктуре. Злоумышленники доработали ВПО, усложнив обнаружение и анализ, и добавив дополнительный канал обмена данными с оператором (злоумышленником) через новую функцию телеметрии.

«Decoy Dog — интересный и сложный троян, а новая модификация сделала его почти невидимкой. Он хорошо скрывает себя в потоке данных, мимикрируя под легитимный трафик, собирает интересные APT-группировке данные и выгружает их в малоизвестную социальную сеть на основе открытого движка Mastodon», — рассказывает Денис Кувшинов, руководитель отдела исследования угроз информационной безопасности PT Expert Security Center.

Используемые выявленной группировкой инструменты в сочетании с тактиками и техниками не позволяют соотнести их действия ни c одной из ранее известных APT-групп. Новая кибергруппировка, названная экспертами Hellhounds, прикладывает значительные усилия для сокрытия своей активности на узлах и в сети.

Помимо госсектора, IT-компаний, космической и энергетической отраслей, Positive Technologies зафиксировала атаки группы Hellhounds на компании, работающие в сферах строительства, образования, транспорта и логистики, ретейла, телекоммуникаций и безопасности.

Истинные задачи группы Hellhounds пока не известны, однако имеется достоверная информация как минимум об одном факте уничтожения инфраструктуры, за которым последовала остановка деятельности компании-жертвы на некоторое время. Одна из причин успешности атак этой группировки заключается в том, что компании очень редко используют дополнительные системы мониторинга и антивирусы на серверах под управлением Linux.

Эксперты Positive Technologies настоятельно рекомендуют организациям уделять больше внимания защите инфраструктуры на базе Linux. Обнаруженные скомпрометированные узлы в очередной раз подтверждают ошибочность подхода, декларирующего неуязвимость этой ОС и ее ничтожно малую подверженность атакам. Специалисты предлагают использовать лучшие практики по настройке (харденингу) и администрированию систем на базе Linux. Применять дополнительные системы мониторинга, средства антивирусной защиты, продукты класса EDR и систему глубокого анализа промышленного трафика. Также важно мониторить сетевую активность с помощью NTA-систем и проверять безопасность передаваемых объектов с помощью песочницы.