×

Hydrochasma: новая вредоносная кампания, нацеленная на судоходные компании и медицинские лаборатории в Азии

Hydrochasma: новая вредоносная кампания, нацеленная на судоходные компании и медицинские лаборатории в Азии

Хакеры действуют максимально скрытно, не оставляя следов на скомпрометированных устройствах.

Деятельность группировки, отслеживаемой под кодовым названием Hydrochasma, продолжается с октября 2022 года. «Судоходные компании и медицинские лаборатории в Азии подвергаются атакам в рамках кампании по сбору разведданных, которая опирается исключительно на общедоступные инструменты для проведения LotL-атак», — сообщают исследователи компании своём отчёте от 22 февраля.

Пока нет никаких доказательств, позволяющих определить происхождение группировки или связь с другими известными киберпреступниками, однако Symantec заявила, что группа может быть заинтересована в атаках на отраслевые вертикали медицинской отрасли, связанные с COVID-19.

Выдающимися аспектами кампании является то, что злоумышленники не крадут какие-либо данные и не распространяют вредоносные программы. Вместо этого они используют инструменты с открытым исходным кодом для сбора разведданных.

Как сообщается, началом цепочки заражения является фишинговое электронное письмо, содержащее документ-приманку. Документ при запуске предоставляет первичный доступ к устройству. После получения такого доступа злоумышленники развертывают множество готовых инструментов, таких как Fast Reverse Proxy (FRP), Meterpreter, Cobalt Strike Beacon, Fscan, BrowserGhost и прокси-сервер Gost.

«Инструменты, развернутые Hydrochasma, указывают на желание добиться постоянного и скрытого доступа к машинам-жертвам, а также на стремление повысить привилегии и распространиться по сетям жертв», — заявили исследователи.

Различные хакерские группы всё чаще используют в своих атаках Fast Reverse Proxy. В конце сентября 2021 года, например, сообщила об атаках, предпринятых группой ChamelGang, которые включали использование этого инструмента для управления скомпрометированными хостами.

Затем, в сентябре 2022 года, Центр экстренного реагирования AhnLab Security (обнаружил атаки, нацеленные на южнокорейские компании, которые использовали FRP для установления удаленного доступа с уже скомпрометированных серверов, чтобы скрыть происхождение злоумышленника.

Hydrochasma — не единственная киберпреступная группа за последние месяцы, которая полностью отказалась от специализированного вредоносного ПО. К числу таких групп можно приписать, например, OPERA1ER (также известную как Bluebottle), которая широко использует LotL-инструменты двойного назначения и стандартные вредоносные программы для вторжений, направленных на франкоязычные страны Африки.

Искусственный интеллект: революция или угроза? Билл Гейтс дает свой ответ

Билл Гейтс рассуждает, как искусственный интеллект может быть использован для решения социальных проблем.

Российские организации требуют от Арбитражного суда Москвы более 900 млн рублей от Oracle

Российское юрлицо Oracle уже направило апелляционную жалобу на введение наблюдения. Как это повлияет на процесс банкротства?

CISO – Forum 2023 совсем скоро!

14 апреля CISO крупнейших компаний Москвы и регионов соберутся на 16-м CISO FORUM.