⏩ Интересные исследования APT и новости ИБ за неделю
😡 Подробный разбор деятельности ransomware-группы Crypt Ghouls: активно используют в атаке легитимное ПО, шифруют жертв с помощью ВПО Lockbit 3.0 и Babuk, тактики, инструментарий и инфраструктура пересекаются с MorLock, BlackJack, Twelve, Shedding Zmiy, заставляя предположить использование ими общих ресурсов и обмен информацией. Атакующими особенно любимы горнодобывающая, энергетическая, финансовая отрасли.
👮♀ Ложные следы тоже переходят из арсенала APT к вымогателям. Обнаружена операция, авторы которой делают вид, что относятся к группировке Lockbit, но на самом деле используют собственное ВПО на Go и воруют данные на подконтрольную им корзину Amazon S3 при помощи функции AWS S3 transfer acceleration.
🐈⬛ Разбор продолжительной и часто модифицируемой кампании по организации первоначального доступа в атакуемые компании при помощи троянцев. Исследователи назвали её "Рога и Копыта", поскольку приманкой всегда является вредоносный архив с JS-файлом, маскирующимся под документ деловой переписки. Предположительно за активностью стоит ранее известная группа TA569.
☝️ Обзор киберугроз, нацеленных на ближневосточные организации, составлен на основе данных, собранных в dark web: утечки, доступы в организации, результаты атак ransomware.
Новые данные по APT SideWinder/T-APT-04/RattleSnake: группа существенно расширила географию атак, а также вооружилась модульным .Net имплантом StealerBot, cконструированным специально для шпионажа и никогда не хранящимся на диске в расшифрованном виде. Вектором начального проникновения обычно является целевой фишинг и эксплуатация старых дефектов в MS Office.
🗑 Конец истории Anonymous Sudan? Американские силовики арестовали двух братьев действительно суданского происхождения, которые организовывали мощнейшие атаки DDoS при помощи арендованных VPS. Некотоырми техническими подробностями поделились в Amazon.
🤡 Смешно и грустно одновременно: кампании, в которых жертве на веб-странице выводят сообщение об ошибке и просят собственноручно скопировать со страницы и вставить в PowerShell вредоносные команды, похоже эффективны. Их стали применять ещё несколько группировок.
Детальный разбор RaaS Cicada3301 - исследователи смогли получить доступ к "партнёрской программе" бандитов, поэтому анализ включает не только ВПО, но и обычно скрытые подробности киберкриминального бизнеса.
😈 А ранее неизвестная APT IcePeony стала известна, потому что забыла закрыть доступ к своей панели управления, чем и воспользовались исследователи. Группа в основном атакует серверы организаций в ЮВА при помощи SQL-инъекций.
❕ Новые подробности о работе APT Mysterious Elephant, впервые замеченной нами в 2023 году. Исследователи нашли пересечения с другой активностью, называемой Bitter, в частности применение ВПО ORPCBackdoor. Этот кластер угроз преимущественно нацелен на ЮВА (Google-перевод).
#дайджест #APT @П2Т