Новая модификация Decoy Dog помогает хакерам незаметно атаковать Linux-системы.
Экспертный центр Positive Technologies обнаружил новую кибергруппировку Hellhounds, которая уже атаковала как минимум 20 российских компаний и госучреждений. Аналитики отмечают высокий профессионализм злоумышленников и сложность используемых ими инструментов.
В октябре текущего года команда по расследованию инцидентов Positive Technologies обнаружила компрометацию российской энергетической компании с применением новой модификации трояна Decoy Dog, который позволяет получить управление над зараженными узлами, а также развивать атаку в скомпрометированной инфраструктуре. Злоумышленники доработали ВПО, усложнив обнаружение и анализ, и добавив дополнительный канал обмена данными с оператором (злоумышленником) через новую функцию телеметрии.
В компании отметили, что Decoy Dog — это сложный троян, а его последняя модификация делает его практически незаметным. Он эффективно маскируется в потоке данных, мимикрируя под легитимный трафик, собирает интересные APT-группировке данные и выгружает их в малоизвестную социальную сеть на основе открытого движка Mastodon.
Используемые хакерами инструменты и методы не позволяют отнести их ни к одной известной группировке. Помимо госсектора и энергетики, они атаковали компании в сферах IT, космоса, строительства, транспорта, телекома и других. Цели группы пока не ясны, однако известно как минимум об одном случае нанесения серьезного ущерба компании-жертве.
По мнению экспертов Positive Technologies, одна из причин успешности атак этой группировки заключается в том, что компании очень редко используют дополнительные системы мониторинга и антивирусы на серверах под управлением Linux. Они рекомендуют уделять больше внимания защите инфраструктуры на базе Linux. Обнаруженные скомпрометированные узлы в очередной раз подтверждают ошибочность подхода, декларирующего неуязвимость этой ОС и ее ничтожно малую подверженность атакам.
Живой, мертвый или в суперпозиции? Узнайте в нашем канале