Группа киберпреступников Datacarry провела серию целенаправленных атак против 11 европейских и международных организаций с июня 2024 по июнь 2025 года. Первой жертвой стала литовская страховая компания Balcia Insurance. Эксперты по кибербезопасности изучили методы работы злоумышленников и обнаружили, что они активно использовали открытые источники информации (OSINT) для разведки, находили уязвимости и внедряли вредоносное ПО.
Описание
Одной из главных проблем, позволивших хакерам проникать в системы, стала уязвимость CVE-2023-48788 в Fortinet EMS, связанная с SQL-инъекцией. Через неё злоумышленники получали возможность удалённого выполнения кода с помощью функции "xp_cmdshell". Эксплуатация этой уязвимости давала атакующим контроль над системами жертв. Для маскировки своей активности группа использовала ротирующиеся прокси-серверы и нестандартные методы связи через WebSocket, что значительно усложняло их обнаружение.
Среди пострадавших организаций значатся компании из различных секторов: финансы, страхование, здравоохранение, IT и профессиональные услуги. В список вошли Balcia Insurance (Литва), Mammut Sports (Швейцария), Alliance Healthcare IT (Италия), V² Development (Греция) и другие.
Исследование показало, что злоумышленники использовали инструменты для сканирования интернета, такие как Shodan, и работали через Tor, чтобы скрыть своё местоположение. Их командная инфраструктура включала прокси-серверы, работающие на порту 8081, а связь с заражёнными системами поддерживалась через WebSocket. В качестве туннелирующего инструмента применялся Chisel, который активировался через скрипт "/version.js".
На заражённых машинах злоумышленники запускали несколько видов вредоносного ПО:
- KB332.ps1 - PowerShell-скрипт, открывающий RDP (порт 3389), отключающий ограничения PowerShell и создающий правило брандмауэра для удалённого доступа.
- audiofg.exe - исполняемый файл на Go, основной имплант, обеспечивающий устойчивое соединение через WebSocket и туннелирование данных.
В конце июня 2025 года часть инфраструктуры хакеров была выведена из строя - возможно, группа сменит тактику или перейдёт к новым атакам.
Индикаторы компрометации
MD5
- 184303252d69a1ca88ece7779af9c82f
- 47026589d1f6dab69e76434f455b083c
- 5ebde8ffca5db8524d6c8be3f22821af
- 953ff2db7ea47995023aeb045143f940
- 986d94060ad7b80368df3a31aa0c2743
SHA1
- 076451c2736626c01bdac7c1c7b21f000cbf7d89
- 0df91b837faf124d0f615485e1f4204e5ec8a7f3
- 7576c9aa1d0f222e6319163d5b7effc3cd4c4038
- 788072abeead7b6b3aa15e6e0930e6253bd57a16
- fc7a86ac0ea11e8da2cb8354dbc2498f33b1a76a
SHA256
- 2f45a3079b5949b6dfb356f79c30ba333635f1eab27704232a7eb70dc428e4ee
- 54c9c36da7b33456f8a72768ec357d05da21293ebe64c17c877ded0def7b72e9
- 67dca31ccc25fa061dcf477c2a56a72340c26c620674685e404c9be4a5cc13a0
- 6b93afe89d923d9694c660d4271f850a5534b7308b1902f4547d841ecea11d42
- fa3654b740b3d7b6ab2e097b262f1e4ec70f48a8f76d385fb08c9a66ed0c161d
