Эксперты Positive Technologies обнаружили новую хакерскую группу, которая получила название Hellhounds и активную с сентября 2022 года. Группировка уже скомпрометировала по меньшей мере 20 российских организаций. Больше всего хакеров интересуют государственные учреждения, IT-компании, организации космической и энергетической отраслей.
В октябре 2023 года команда по расследованию инцидентов Positive Technologies обнаружила компрометацию неназванной российской энергетической компании с использованием новой модификации трояна Pupy RAT, которую специалисты назвали Decoy Dog.
Pupy RAT представляет собой кроссплатформенный многофункциональный бэкдор и инструмент пост-эксплуатации с открытым исходным кодом, в основном написанный на Python. Pupy поддерживает Windows и Linux, а также ограниченно Android и macOS. Он использует принцип выполнения «все в памяти» и оставляет минимум следов в системе. Pupy RAT может держать связь с управляющим сервером, используя несколько транспортов, мигрировать в процессы с помощью техники reflective injection и удаленно загружать Python-пакеты (.py, .pyc) и скомпилированные расширения Python C (.pyd, .so) из памяти.
Но если Pupy RAT не разрабатывается уже два года, Decoy Dog находится в активной разработке. Вредонос позволяет получить управление над зараженными узлами, а также развивать атаку в скомпрометированной инфраструктуре. К тому же злоумышленники доработали малварь, усложнив обнаружение и анализ, и добавив дополнительный канал обмена данными с оператором (злоумышленником) через новую функцию телеметрии.
«Decoy Dog — интересный и сложный троян, а новая модификация сделала его почти невидимкой. Он хорошо скрывает себя в потоке данных, мимикрируя под легитимный трафик, собирает интересные APT-группировке данные и выгружает их в малоизвестную социальную сеть на основе открытого движка Mastodon», — рассказывает Денис Кувшинов, руководитель отдела исследования угроз информационной безопасности экспертного центра безопасности Positive Technologies (PT Expert Security Center).
Отчет компании гласит, что используемые Hellhounds инструменты в сочетании с тактиками и техниками не позволяют соотнести их действия ни c одной из ранее известных APT-групп. Отмечается, что хакеры прикладывают значительные усилия для сокрытия своей активности на узлах и в сети.
Помимо госсектора, IT-компаний, космической и энергетической отраслей, Positive Technologies зафиксировала атаки группы на компании, работающие в сферах строительства, образования, транспорта и логистики, ритейла, телекоммуникаций и безопасности.
Истинные задачи и мотивы Hellhounds пока не известны, однако эксперты предупредили, что у них имеется достоверная информация как минимум об одном факте уничтожения инфраструктуры, за которым последовала остановка деятельности компании-жертвы на некоторое время. Одна из причин успешности атак этой группировки заключается в том, что компании очень редко используют дополнительные системы мониторинга и антивирусы на серверах под управлением Linux.