- Регистрация
- 26.10.16
- Сообщения
- 2,237
- Онлайн
- 36д 21ч 58м
- Сделки
- 251
- Нарушения
- 0 / 0
Пока нет никаких доказательств, позволяющих определить происхождение группировки или связь с другими известными киберпреступниками, однако Symantec заявила, что группа может быть заинтересована в атаках на отраслевые вертикали медицинской отрасли, связанные с COVID-19.
Выдающимися аспектами кампании является то, что злоумышленники не крадут какие-либо данные и не распространяют вредоносные программы. Вместо этого они используют инструменты с открытым исходным кодом для сбора разведданных.
Как сообщается, началом цепочки заражения является фишинговое электронное письмо, содержащее документ-приманку. Документ при запуске предоставляет первичный доступ к устройству. После получения такого доступа злоумышленники развертывают множество готовых инструментов, таких как Fast Reverse Proxy (FRP), Meterpreter, Cobalt Strike Beacon, Fscan, BrowserGhost и прокси-сервер Gost.
Различные хакерские группы всё чаще используют в своих атаках Fast Reverse Proxy. В конце сентября 2021 года, например, Positive Technologies сообщила об атаках, предпринятых группой ChamelGang, которые включали использование этого инструмента для управления скомпрометированными хостами.
Затем, в сентябре 2022 года, Центр экстренного реагирования AhnLab Security (ASEC) обнаружил атаки, нацеленные на южнокорейские компании, которые использовали FRP для установления удаленного доступа с уже скомпрометированных серверов, чтобы скрыть происхождение злоумышленника.
Hydrochasma — не единственная киберпреступная группа за последние месяцы, которая полностью отказалась от специализированного вредоносного ПО. К числу таких групп можно приписать, например, OPERA1ER (также известную как Bluebottle), которая широко использует LotL-инструменты двойного назначения и стандартные вредоносные программы для вторжений, направленных на франкоязычные страны Африки.
