- 12,454
- 18
- 8 Ноя 2022
Группировка стремиться нанести максимальный ущерб организациям из РФ и Беларуси.
«Лаборатория Касперского» опубликовала Для просмотра ссылки Войдиили Зарегистрируйся о деятельности хакерской группировки Head Mare, которая с 2023 года активно атакует российские и белорусские организации. Эксперты провели тщательный анализ инцидентов и раскрыли тактику, методы и инструменты, используемые злоумышленниками.
Head Mare впервые заявила о себе в социальной сети X (бывший Twitter) в 2023 году. Группировка публикует информацию о своих жертвах, включая названия организаций, украденные внутренние документы и скриншоты рабочих столов. На момент проведения исследования Head Mare заявила о девяти жертвах из различных отраслей, включая госучреждения, транспорт, энергетику, производство и сферу развлечений.
Основной целью атак Head Mare является нанесение максимального ущерба компаниям из России и Беларуси. При этом группировка также требует выкуп за расшифровку данных, что отличает ее от некоторых других хактивистских групп.
Для первоначального доступа Head Mare проводит фишинговые кампании, распространяя RAR-архивы, эксплуатирующие уязвимость CVE-2023-38831 в WinRAR. Это позволяет злоумышленникам эффективнее доставлять и лучше маскировать вредоносную нагрузку.
В своем арсенале Head Mare использует как общедоступное программное обеспечение, так и собственные разработки. Среди инструментов группировки:
Для закрепления в системе Head Mare использует несколько методов, включая добавление вредоносных программ в ключ реестра Run и создание задач планировщика. Группировка также применяет обфускацию своих инструментов, предположительно с помощью популярного обфускатора Go под названием Garble.
Эксперты «Лаборатории Касперского» отмечают, что тактики, методы и инструменты Head Mare во многом схожи с активностью других групп, атакующих организации в России и Беларуси в рамках российско-украинского конфликта. Однако группа отличается использованием самописных вредоносных программ PhantomDL и PhantomCore, а также эксплойтов к сравнительно свежей уязвимости CVE-2023-38831 в рамках фишинговых кампаний.
Важно отметить, что все связанные с Head Mare образцы вредоносного ПО детектировались только на территории России и Беларуси, согласно данным Kaspersky Threat Intelligence.
Исследователи подчеркивают, что российским и белорусским организациям стоит обратить особое внимание на эволюцию и совершенствование тактик, техник и процедур (TTP) злоумышленников. Эксперты рекомендуют регулярно обновлять программное обеспечение, проводить аудит безопасности и обучать сотрудников правилам кибергигиены, уделяя особое внимание защите от фишинговых атак.
«Лаборатория Касперского» опубликовала Для просмотра ссылки Войди
Head Mare впервые заявила о себе в социальной сети X (бывший Twitter) в 2023 году. Группировка публикует информацию о своих жертвах, включая названия организаций, украденные внутренние документы и скриншоты рабочих столов. На момент проведения исследования Head Mare заявила о девяти жертвах из различных отраслей, включая госучреждения, транспорт, энергетику, производство и сферу развлечений.
Основной целью атак Head Mare является нанесение максимального ущерба компаниям из России и Беларуси. При этом группировка также требует выкуп за расшифровку данных, что отличает ее от некоторых других хактивистских групп.
Для первоначального доступа Head Mare проводит фишинговые кампании, распространяя RAR-архивы, эксплуатирующие уязвимость CVE-2023-38831 в WinRAR. Это позволяет злоумышленникам эффективнее доставлять и лучше маскировать вредоносную нагрузку.
В своем арсенале Head Mare использует как общедоступное программное обеспечение, так и собственные разработки. Среди инструментов группировки:
- Шифровальщики LockBit (для Windows) и Babuk (для ESXi)
- Собственные вредоносные программы PhantomDL и PhantomCore
- C2-фреймворк Sliver
- Утилиты ngrok и rsockstun для получения доступа к закрытым сегментам сети
- XenAllPasswordPro для сбора учетных данных
- Mimikatz
Для закрепления в системе Head Mare использует несколько методов, включая добавление вредоносных программ в ключ реестра Run и создание задач планировщика. Группировка также применяет обфускацию своих инструментов, предположительно с помощью популярного обфускатора Go под названием Garble.
Эксперты «Лаборатории Касперского» отмечают, что тактики, методы и инструменты Head Mare во многом схожи с активностью других групп, атакующих организации в России и Беларуси в рамках российско-украинского конфликта. Однако группа отличается использованием самописных вредоносных программ PhantomDL и PhantomCore, а также эксплойтов к сравнительно свежей уязвимости CVE-2023-38831 в рамках фишинговых кампаний.
Важно отметить, что все связанные с Head Mare образцы вредоносного ПО детектировались только на территории России и Беларуси, согласно данным Kaspersky Threat Intelligence.
Исследователи подчеркивают, что российским и белорусским организациям стоит обратить особое внимание на эволюцию и совершенствование тактик, техник и процедур (TTP) злоумышленников. Эксперты рекомендуют регулярно обновлять программное обеспечение, проводить аудит безопасности и обучать сотрудников правилам кибергигиены, уделяя особое внимание защите от фишинговых атак.
- Источник новости
- www.securitylab.ru
