Аналитики «Лаборатории Касперского» опубликовали отчет о деятельности группы Head Mare, которая атакует организации из России и Беларуси. Эксперты изучили, как происходят атаки группы, и какие инструменты используют злоумышленники. В итоге удалось установить связь с недавними целевыми атаками на российские организации, в которых использовалась малварь PhantomDL.
Head Mare — группа хактивистов, впервые заявившая о себе в 2023 году в социальной сети X. Обычно в своих постах злоумышленники раскрывают информацию о некоторых своих жертвах, включая названия организаций, внутренние документы, украденные во время атак, а также скриншоты рабочих столов и административных консолей. Более широкую известность Head Mare получила весной текущего года, после того, как взяла на себя ответственность за атаку на СДЭК.
К настоящему моменту группировка заявила о девяти жертвах из различных отраслей: госучреждения, транспорт, энергетика, производство и развлечения. Конечная цель злоумышленников, вероятнее всего, заключается в нанесении максимального ущерба компаниям из России и Беларуси. При этом Head Mare требует у жертв выкуп за расшифровку данных.
Исследователи отмечают, что в отличие от других подобных группировок, Head Mare не ограничивается общедоступными инструментами, а также использует более актуальные методы получения первоначального доступа. К примеру, злоумышленники взяли на вооружение относительно свежую уязвимость CVE-2023-38831 в WinRAR, позволяющую атакующему с помощью специально подготовленного архива выполнить в системе произвольный код.
Как и большинство хактивистов, Head Mare часто использует общедоступную малварь. Например, для шифрования файлов применяются два семейства вредоносов: LockBit для Windows и Babuk для Linux (ESXi).
Но если некоторые хактивисты вообще не имеют в своем инструментарии никаких собственных разработок, то Head Mare использует для первоначального доступа и эксплуатации фишинговые письма, содержащие архивы с кастомным вредоносным ПО PhantomDL и PhantomCore.
Напомним, что PhantomDL может использоваться для установки и запуска различных вредоносных утилит, в том числе для удаленного администрирования. Это позволяет не только управлять компьютером жертвы, но и загружать файлы с него на сервер злоумышленников.
«Тактики, методы, процедуры и инструменты группы Head Mare во многом похожи на активность других групп, относящихся к кластерам, связанным с атаками на организации в России и Беларуси в рамках российско-украинского конфликта. При этом группа отличается от них использованием самописных вредоносных программ PhantomDL и PhantomCore, а также эксплойтов к сравнительно свежей уязвимости CVE-2023-38831 в рамках фишинговых кампаний для проникновения в инфраструктуру своих жертв. Это важный аспект, на который стоит обратить внимание российским и белорусским организациям: злоумышленники эволюционируют и совершенствуют свои TTP», — заключают эксперты.