• Добро пожаловать в Пиратскую Бухту! Чтобы получить полный доступ к форуму пройдите регистрацию!
  • Гость, стой!

    В бухте очень не любят флуд и сообщения без смысловой нагрузки!
    Чтобы не получить бан, изучи правила форума!

    Если хотите поблагодарить автора темы, или оценить реплику пользователя, для этого есть кнопки: "Like" и "Дать на чай".

Новости Hydrochasma: новая вредоносная кампания, нацеленная на судоходные компании и медицинские лаборатории в Азии

Пригоршня

Штурман
Мудрец
Регистрация
26.10.16
Сообщения
2,233
Онлайн
38д 2ч 13м
Сделки
251
Нарушения
0 / 0
Montserrat Semi-Bold.png

Деятельность группировки, отслеживаемой под кодовым названием Hydrochasma, продолжается с октября 2022 года. «Судоходные компании и медицинские лаборатории в Азии подвергаются атакам в рамках кампании по сбору разведданных, которая опирается исключительно на общедоступные инструменты для проведения LotL-атак», — сообщают исследователи компании Symantec в своём отчёте от 22 февраля.

Пока нет никаких доказательств, позволяющих определить происхождение группировки или связь с другими известными киберпреступниками, однако Symantec заявила, что группа может быть заинтересована в атаках на отраслевые вертикали медицинской отрасли, связанные с COVID-19.

Выдающимися аспектами кампании является то, что злоумышленники не крадут какие-либо данные и не распространяют вредоносные программы. Вместо этого они используют инструменты с открытым исходным кодом для сбора разведданных.

Как сообщается, началом цепочки заражения является фишинговое электронное письмо, содержащее документ-приманку. Документ при запуске предоставляет первичный доступ к устройству. После получения такого доступа злоумышленники развертывают множество готовых инструментов, таких как Fast Reverse Proxy (FRP), Meterpreter, Cobalt Strike Beacon, Fscan, BrowserGhost и прокси-сервер Gost.

«Инструменты, развернутые Hydrochasma, указывают на желание добиться постоянного и скрытого доступа к машинам-жертвам, а также на стремление повысить привилегии и распространиться по сетям жертв», — заявили исследователи.
Различные хакерские группы всё чаще используют в своих атаках Fast Reverse Proxy. В конце сентября 2021 года, например, Positive Technologies сообщила об атаках, предпринятых группой ChamelGang, которые включали использование этого инструмента для управления скомпрометированными хостами.

Затем, в сентябре 2022 года, Центр экстренного реагирования AhnLab Security (ASEC) обнаружил атаки, нацеленные на южнокорейские компании, которые использовали FRP для установления удаленного доступа с уже скомпрометированных серверов, чтобы скрыть происхождение злоумышленника.

Hydrochasma — не единственная киберпреступная группа за последние месяцы, которая полностью отказалась от специализированного вредоносного ПО. К числу таких групп можно приписать, например, OPERA1ER (также известную как Bluebottle), которая широко использует LotL-инструменты двойного назначения и стандартные вредоносные программы для вторжений, направленных на франкоязычные страны Африки.
 
Сверху