Head Mare: анатомия разрушительных атак на российские компании

Head Mare: анатомия разрушительных атак на российские компании

Группировка стремиться нанести максимальный ущерб организациям из РФ и Беларуси.

image

«Лаборатория Касперского» опубликовала подробный отчет о деятельности хакерской группировки Head Mare, которая с 2023 года активно атакует российские и белорусские организации. Эксперты провели тщательный анализ инцидентов и раскрыли тактику, методы и инструменты, используемые злоумышленниками.

Head Mare впервые заявила о себе в социальной сети X* (бывший Twitter) в 2023 году. Группировка публикует информацию о своих жертвах, включая названия организаций, украденные внутренние документы и скриншоты рабочих столов. На момент проведения исследования Head Mare заявила о девяти жертвах из различных отраслей, включая госучреждения, транспорт, энергетику, производство и сферу развлечений.

Основной целью атак Head Mare является нанесение максимального ущерба компаниям из России и Беларуси. При этом группировка также требует выкуп за расшифровку данных, что отличает ее от некоторых других хактивистских групп.

Для первоначального доступа Head Mare проводит фишинговые кампании, распространяя RAR-архивы, эксплуатирующие уязвимость CVE-2023-38831 в WinRAR. Это позволяет злоумышленникам эффективнее доставлять и лучше маскировать вредоносную нагрузку.

В своем арсенале Head Mare использует как общедоступное программное обеспечение, так и собственные разработки. Среди инструментов группировки:

  1. Шифровальщики LockBit (для Windows) и Babuk (для ESXi)
  2. Собственные вредоносные программы PhantomDL и PhantomCore
  3. C2-фреймворк Sliver
  4. Утилиты ngrok и rsockstun для получения доступа к закрытым сегментам сети
  5. XenAllPasswordPro для сбора учетных данных
  6. Mimikatz

Злоумышленники активно маскируют свою деятельность, используя имена файлов и пути, похожие на легитимные системные процессы. Например, вредоносные программы могут располагаться в каталоге C:\ProgramData под именами OneDrive.exe или VLC.exe.

Для закрепления в системе Head Mare использует несколько методов, включая добавление вредоносных программ в ключ реестра Run и создание задач планировщика. Группировка также применяет обфускацию своих инструментов, предположительно с помощью популярного обфускатора Go под названием Garble.

Эксперты «Лаборатории Касперского» отмечают, что тактики, методы и инструменты Head Mare во многом схожи с активностью других групп, атакующих организации в России и Беларуси в рамках российско-украинского конфликта. Однако группа отличается использованием самописных вредоносных программ PhantomDL и PhantomCore, а также эксплойтов к сравнительно свежей уязвимости CVE-2023-38831 в рамках фишинговых кампаний.

Важно отметить, что все связанные с Head Mare образцы вредоносного ПО детектировались только на территории России и Беларуси, согласно данным Kaspersky Threat Intelligence.

Исследователи подчеркивают, что российским и белорусским организациям стоит обратить особое внимание на эволюцию и совершенствование тактик, техник и процедур (TTP) злоумышленников. Эксперты рекомендуют регулярно обновлять программное обеспечение, проводить аудит безопасности и обучать сотрудников правилам кибергигиены, уделяя особое внимание защите от фишинговых атак.

* Социальная сеть запрещена на территории Российской Федерации

Ньютон уронил яблоко. Мы роняем челюсти!

Гравитация научных фактов сильнее, чем вы думаете

Подпишитесь и испытайте интеллектуальное падение