Экспертный центр безопасности Positive Technologies обнаружил новую кибергруппировку, которую назвал Hellhounds.
Она уже скомпрометировала по меньшей мере 20 российских организаций. Больше всего группировку интересуют государственные учреждения, IT-компании, организации космической и энергетической отраслей.
В октябре 2023 года команда по расследованию инцидентов Positive Technologies обнаружила компрометацию российской энергетической компании с использованием новой модификации трояна Decoy Dog, который позволяет получить управление над зараженными узлами, а также развивать атаку в скомпрометированной инфраструктуре. Злоумышленники доработали ВПО, усложнив обнаружение и анализ, и добавив дополнительный канал обмена данными с оператором (злоумышленником) через новую функцию телеметрии.
«Decoy Dog — интересный и сложный троян, а новая модификация сделала его почти невидимкой. Он хорошо скрывает себя в потоке данных, мимикрируя под легитимный трафик, собирает интересные APT-группировке данные и выгружает их в малоизвестную социальную сеть на основе открытого движка Mastodon».
Используемые выявленной группировкой инструменты в сочетании с тактиками и техниками не позволяют соотнести их действия ни c одной из ранее известных APT-групп. Новая кибергруппировка, названная экспертами Hellhounds, прикладывает значительные усилия для сокрытия своей активности на узлах и в сети.
Истинные задачи группы Hellhounds пока не известны, однако имеется достоверная информация как минимум об одном факте уничтожения инфраструктуры, за которым последовала остановка деятельности компании-жертвы на некоторое время. Одна из причин успешности атак этой группировки заключается в том, что компании очень редко используют дополнительные системы мониторинга и антивирусы на серверах под управлением Linux.
Эксперты Positive Technologies настоятельно рекомендуют организациям уделять больше внимания защите инфраструктуры на базе Linux. Обнаруженные скомпрометированные узлы в очередной раз подтверждают ошибочность подхода, декларирующего неуязвимость этой ОС и ее ничтожно малую подверженность атакам.
Специалисты рекомендуют использовать лучшие практики по настройке (харденингу) и администрированию систем на базе Linux. Применять дополнительные системы мониторинга (событий ИБ и управления инцидентами MaxPatrol SIEM, управления уязвимостями MaxPatrol VM), средства антивирусной защиты, продукты класса EDR (MaxPatrol EDR) и систему глубокого анализа промышленного трафика PT ISIM. Также важно мониторить сетевую активность с помощью NTA-систем, например, PT Network Attack Discovery и проверять безопасность передаваемых объектов с помощью песочницы, например, PT Sandbox.
Она уже скомпрометировала по меньшей мере 20 российских организаций. Больше всего группировку интересуют государственные учреждения, IT-компании, организации космической и энергетической отраслей.
В октябре 2023 года команда по расследованию инцидентов Positive Technologies обнаружила компрометацию российской энергетической компании с использованием новой модификации трояна Decoy Dog, который позволяет получить управление над зараженными узлами, а также развивать атаку в скомпрометированной инфраструктуре. Злоумышленники доработали ВПО, усложнив обнаружение и анализ, и добавив дополнительный канал обмена данными с оператором (злоумышленником) через новую функцию телеметрии.
«Decoy Dog — интересный и сложный троян, а новая модификация сделала его почти невидимкой. Он хорошо скрывает себя в потоке данных, мимикрируя под легитимный трафик, собирает интересные APT-группировке данные и выгружает их в малоизвестную социальную сеть на основе открытого движка Mastodon».
Используемые выявленной группировкой инструменты в сочетании с тактиками и техниками не позволяют соотнести их действия ни c одной из ранее известных APT-групп. Новая кибергруппировка, названная экспертами Hellhounds, прикладывает значительные усилия для сокрытия своей активности на узлах и в сети.
Истинные задачи группы Hellhounds пока не известны, однако имеется достоверная информация как минимум об одном факте уничтожения инфраструктуры, за которым последовала остановка деятельности компании-жертвы на некоторое время. Одна из причин успешности атак этой группировки заключается в том, что компании очень редко используют дополнительные системы мониторинга и антивирусы на серверах под управлением Linux.
Эксперты Positive Technologies настоятельно рекомендуют организациям уделять больше внимания защите инфраструктуры на базе Linux. Обнаруженные скомпрометированные узлы в очередной раз подтверждают ошибочность подхода, декларирующего неуязвимость этой ОС и ее ничтожно малую подверженность атакам.
Специалисты рекомендуют использовать лучшие практики по настройке (харденингу) и администрированию систем на базе Linux. Применять дополнительные системы мониторинга (событий ИБ и управления инцидентами MaxPatrol SIEM, управления уязвимостями MaxPatrol VM), средства антивирусной защиты, продукты класса EDR (MaxPatrol EDR) и систему глубокого анализа промышленного трафика PT ISIM. Также важно мониторить сетевую активность с помощью NTA-систем, например, PT Network Attack Discovery и проверять безопасность передаваемых объектов с помощью песочницы, например, PT Sandbox.
