Старые бреши открывают дорогу новым утечкам данных.
Исследователи из Unit 42 вновь обнаружили активность кибергруппировки, связанной с кампанией Silent Skimmer, которая в конце 2023 года. В мае 2024 года злоумышленники скомпрометировали несколько веб-серверов, чтобы получить доступ к инфраструктуре крупной компании из Северной Америки. Эксперты связывают эти атаки с Silent Skimmer из-за совпадений в используемых инструментах и тактиках.
Впервые операция Silent Skimmer была замечена в сентябре 2023 года, когда хакеры занимались сбором данных с онлайн-платежей. С тех пор о них практически не было новостей. По данным Unit 42, теперь киберпреступники нацелены на компании, разрабатывающие и поддерживающие платёжные системы и шлюзы.
Для взлома серверов злоумышленники использовали уязвимости в популярной платформе Telerik UI. В частности, были использованы две уязвимости — CVE-2017-11317 и CVE-2019-18935, позволяющие удалённое выполнение кода и загрузку файлов. Обе уязвимости входят в каталог известных эксплуатируемых уязвимостей CISA.
После получения доступа хакеры развернули веб-оболочки и настроили постоянное подключение через туннелирование и обратные прокси, такие как Fuso и FRP. В дальнейшем для повышения привилегий использовался инструмент GodPotato с помощью PowerShell-скриптов.
Злоумышленники активно применяли смешанные сборки .NET и C++, чтобы затруднить анализ их программного кода. Это позволило скрывать вредоносный функционал и обходить защитные системы. Кроме того, для эксфильтрации данных использовались Python-скрипты, упакованные с помощью PyInstaller, что позволило маскировать их под легитимные исполняемые файлы.
Основной метод атаки — установка обратных оболочек и использование легитимных утилит Windows для выполнения вредоносных команд. Например, хакеры использовали «mshta.exe» для загрузки и выполнения вредоносных HTA-файлов, которые далее запускали PowerShell-скрипты.
Сходства в тактиках и используемых инструментах подтверждают связь этой активности с ранее описанной BlackBerry кампанией против платёжных систем. Однако теперь злоумышленники применяют новые методы сбора данных: вместо внедрения кода на страницы они используют Python-скрипты для подключения к базам данных и выгрузки данных в CSV.
Специалисты Palo Alto Networks рекомендуют оперативно обновлять уязвимые версии программ и использовать передовые средства защиты, такие как Cortex XDR и XSIAM, а также облачные сервисы, включая Advanced URL Filtering и Advanced DNS Security.
Живой, мертвый или в суперпозиции? Узнайте в нашем канале