C.A.S (Cyber Anarchy Squad) - хактивистская группа, которая с 2022 года атакует организации в России и Беларуси. Их цель - не только украсть данные, но и нанести максимальный ущерб, в том числе репутационный. Для этого атаки группы используют уязвимости в публичных сервисах и широко применяют бесплатные инструменты.
C.A.S (Cyber Anarchy Squad) APT
Недавнее расследование позволило нам обнаружить новую активность группы, проанализировать этапы ее атак и изучить используемые инструменты и вредоносное ПО. Kaspersky Lab также обнаружили связи между C.A.S и другими хактивистскими группами, такими как Ukrainian Cyber Alliance и DARKSTAR.
Как и многие другие хактивистские группы, C.A.S использует Telegram в качестве платформы для распространения информации о своих жертвах. Мы обнаружили канал, где они публикуют новости и сообщения о своих атаках и идеологии, а также чат, где они обсуждают свою деятельность.
Согласно анализу, C.A.S получает первоначальный доступ к целевым системам, используя технику Exploit Public-Facing Application. Они компрометируют такие сервисы, как Jira, Confluence и Microsoft SQL Server, используя уязвимости. Однако, похоже, они не используют фишинговые письма в качестве первоначального вектора атаки. Вместо этого они, скорее всего, используют уязвимые сетевые ресурсы или получают доступ к системам, взломанным третьими лицами.
Для дальнейшего продвижения по инфраструктуре злоумышленники используют трояны удаленного доступа (RAT) с открытым исходным кодом, такие как Revenge RAT и Spark RAT, которые редко встречаются среди других хактивистских атак. Эти утилиты позволяют им удаленно управлять зараженными системами и выполнять различные команды.
В некоторых случаях мы наблюдали использование взломанной службы MS SQL для выполнения команд в cmd, о чем свидетельствует процесс cmd.exe, запущенный как дочерний процесс sqlservr.exe.
Злоумышленники также используют PowerShell для выполнения скриптов, загружают обратную оболочку Meterpreter для фреймворка Metasploit с помощью инструмента cURL и оставляют следы работы Revenge RAT через PowerShell.
Для обеспечения устойчивости злоумышленники создают учетные записи пользователей на взломанных узлах с помощью утилиты net.exe. Примечательно, что учетная запись администратора получает пароль, совпадающий с именем группы.
Также было обнаружено, что образцы Revenge RAT сохраняются в системе через ключи реестра, добавленные в HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.
Indicators of Compromise
IPv4
- 185.117.75.3
- 194.36.188.94
MD5
- 1fcd4f83bf6414d79d5f29ad1e795b3d
- 23b873bb66dc09e91127e20825b6cbc7
- 48210ca2408dc76815ad1b7c01c1a21a
- 6cbc93b041165d59ea5ded0c5f377171
- 8c70377554b291d4a231cf113398c00d
- bcec17275114c6a87d8b7110aecec5cc
- fc3a8eabd07a221b478a4ddd77ddce43