Группа хакеров, известная под названиями Head Mare или Rainbow Hyна, активизировала свою деятельность, нацелившись на органы государственной власти и объекты критической информационной инфраструктуры (КИИ) в Российской Федерации. Основным вектором атаки стали фишинговые рассылки электронных писем, содержащие опасные вложения. По данным экспертов по кибербезопасности, в этих кампаниях злоумышленники используют изощренные методы социальной инженерии и вредоносное программное обеспечение для создания "бэкдора".
Описание
В частности, в почтовых рассылках фигурируют архивные файлы с названием «Договор_РН83_37_изменения.zip». Внутри архивов находятся исполняемые файлы, искусно замаскированные под легитимные документы, такие как таблицы Excel или текстовые файлы. Для маскировки злоумышленники применяют технику двойного расширения файлов. Например, вредоносный файл может иметь имя, оканчивающееся на «.xls.lnk». Система Windows по умолчанию скрывает известные расширения, поэтому пользователь видит только первую часть имени («.xls»), что создает иллюзию безопасного документа. На самом деле, настоящее расширение «.lnk» указывает на ярлык, который при запуске выполняет скрытую вредоносную команду.
Запуск такого файла приводит к установке на компьютер-жертву вредоносной программы типа "бэкдор", идентифицированной как PhantomRemote. Этот "бэкдор" предоставляет злоумышленникам несанкционированный удаленный доступ к скомпрометированной системе. Получив контроль, атакующие могут похищать конфиденциальные данные, внедрять дополнительное вредоносное программное обеспечение или перемещаться по корпоративной сети в поисках других целей. Подобные инструменты часто используются группами продвинутой постоянной угрозы (APT) для долгосрочного шпионажа и сбора информации.
Группировка Rainbow Hyena демонстрирует признаки высокоорганизованной APT-кампании. Выбор целей - государственные структуры и субъекты КИИ - указывает на мотивацию, связанную с государственным шпионажем или дестабилизацией. Использование фишинга с тематическими названиями документов, которые могут быть актуальны для сотрудников госучреждений, говорит о предварительной разведке и подготовке операции. Подобные атаки требуют комплексного подхода к защите, выходящего за рамки стандартных антивирусных решений.
Эксперты подчеркивают, что защита от таких угроз должна быть многоуровневой. Во-первых, критически важна постоянная тренировка осведомленности сотрудников о киберугрозах. Сотрудники должны быть обучены проверять адреса отправителей, не доверять неожиданным вложениям и обращать внимание на полные имена файлов. Во-вторых, необходимо внедрять технические меры контроля. Например, политики групповой безопасности могут блокировать выполнение файлов с подозрительными двойными расширениями, поступающих из электронной почты. Системы обнаружения вторжений (IDS) и предотвращения вторжений (IPS) могут помочь выявить подозрительную сетевую активность, связанную с "бэкдорами".
Кроме того, эффективным инструментом противодействия является анализ тактик, техник и процедур (TTP, Tactics, Techniques and Procedures) злоумышленников, например, с использованием фреймворка MITRE ATT&CK. Это позволяет командам безопасности (SOC) проактивно выстраивать защиту, предугадывая следующие шаги атакующих. Своевременное применение обновлений безопасности и сегментация сетей также ограничивают потенциальный ущерб от успешного проникновения.
Таким образом, текущая кампания группировки Rainbow Hyena служит серьезным напоминанием об уязвимости даже защищенных систем к целевым фишинговым атакам. Успех таких операций часто зависит от человеческого фактора, что делает обучение сотрудников первой линией обороны. Однако только сочетание технических мер, аналитики угроз и высокой осведомленности персонала может эффективно противостоять сложным APT-угрозам, нацеленным на государственные и критически важные объекты.
Индикаторы компрометации
IPv4
- 185.130.249.224
- 185.130.251.116
- 185.130.251.219
- 185.130.251.227
- 185.225.17.104
- 185.255.133.195
- 188.127.254.44
- 91.239.148.21
URLs
- http://185.130.251.116:80/api
- http://185.255.133.195:80/api
- http://188.127.254.44/uploads/remote.zip
- http://188.127.254.44/uploads/update.zip
- http://91.239.148.21/uploads/cplhost.zip
- http://91.239.148.21/uploads/dnsclient.zip
MD5
- 20d4805eb8547e9b28672a31adbc3600
- 75a26a138783032ee18dcfc713b1b34c
- 7e52be17fd33a281c70fec14805113a8
- 8049b1a778f62052508a9e3fb84ceb49
- 82067efcbaf6ce388f6211ec5d772f80
- 8413c5156af3741cf9bda4c1a398298b
- 996084dc1175befd223d495a10c0e9e9
- b49a7ef89cfb317a540996c3425fcdc2
- b60c86ae1cd9f69b81d6c2c64202b4b6
- be996ee4e130b3644411a551d44444e2
- d71bb4387da469aa01d4208034f0ec3a
- e6e59361fc93769f68cfeb7011250ab6
- fc6d2fc336de9f974a0bf27e506d79d3
- ffba356576d0aba555c32ab6c081877c
