Бесплатно Экспресс-аудит сайта:

24.02.2023

Hydrochasma: новая вредоносная кампания, нацеленная на судоходные компании и медицинские лаборатории в Азии

Деятельность группировки, отслеживаемой под кодовым названием Hydrochasma, продолжается с октября 2022 года. «Судоходные компании и медицинские лаборатории в Азии подвергаются атакам в рамках кампании по сбору разведданных, которая опирается исключительно на общедоступные инструменты для проведения LotL-атак», — сообщают исследователи компании Symantec в своём отчёте от 22 февраля.

Пока нет никаких доказательств, позволяющих определить происхождение группировки или связь с другими известными киберпреступниками, однако Symantec заявила, что группа может быть заинтересована в атаках на отраслевые вертикали медицинской отрасли, связанные с COVID-19.

Выдающимися аспектами кампании является то, что злоумышленники не крадут какие-либо данные и не распространяют вредоносные программы. Вместо этого они используют инструменты с открытым исходным кодом для сбора разведданных.

Как сообщается, началом цепочки заражения является фишинговое электронное письмо, содержащее документ-приманку. Документ при запуске предоставляет первичный доступ к устройству. После получения такого доступа злоумышленники развертывают множество готовых инструментов, таких как Fast Reverse Proxy (FRP), Meterpreter, Cobalt Strike Beacon, Fscan, BrowserGhost и прокси-сервер Gost.

«Инструменты, развернутые Hydrochasma, указывают на желание добиться постоянного и скрытого доступа к машинам-жертвам, а также на стремление повысить привилегии и распространиться по сетям жертв», — заявили исследователи.

Различные хакерские группы всё чаще используют в своих атаках Fast Reverse Proxy. В конце сентября 2021 года, например, Positive Technologies сообщила об атаках, предпринятых группой ChamelGang, которые включали использование этого инструмента для управления скомпрометированными хостами.

Затем, в сентябре 2022 года, Центр экстренного реагирования AhnLab Security ( ASEC ) обнаружил атаки, нацеленные на южнокорейские компании, которые использовали FRP для установления удаленного доступа с уже скомпрометированных серверов, чтобы скрыть происхождение злоумышленника.

Hydrochasma — не единственная киберпреступная группа за последние месяцы, которая полностью отказалась от специализированного вредоносного ПО. К числу таких групп можно приписать, например, OPERA1ER (также известную как Bluebottle), которая широко использует LotL-инструменты двойного назначения и стандартные вредоносные программы для вторжений, направленных на франкоязычные страны Африки.