Группировка Head Mare нацеливается на российские госорганы с новым трояном PhantomPyramid

Атака начинается с фишингового письма, которое, по всей видимости, тщательно адаптируется под каждого получателя. Злоумышленники используют социальную инженерию, чтобы убедить жертву открыть вложение. В качестве прикрепленного файла выступает архив с расширением .zip. Внутри архива находится исполняемый файл, замаскированный под легитимный документ с помощью техники двойного расширения. Например, файл может называться «Akt_priema_peredachi_[название_организации].docx.lnk». Для невнимательного пользователя он выглядит как обычный документ Word (.docx), однако фактически это ярлык (.lnk), который при запуске выполняет вредоносный код.

Использование двойного расширения - давно известный, но по-прежнему эффективный трюк, особенно в условиях спешки или при недостаточном уровне осведомленности сотрудников. После запуска такого файла на компьютер жертвы загружается и устанавливается троян PhantomPyramid. Основной задачей этого вредоносного обеспечения (ВПО) является получение злоумышленниками несанкционированного удаленного доступа к скомпрометированной системе.

Получив контроль над рабочей станцией, операторы PhantomPyramid, вероятно, проводят разведку внутренней сети, крадут конфиденциальные данные и документы, а также создают условия для дальнейшего проникновения в инфраструктуру организации. Подобные инструменты часто используются для длительного шпионажа (кибершпионажа) и могут служить первой ступенью для более разрушительных атак. Мотивация группировки Head Mare, судя по выбору целей, носит, в первую очередь, разведывательный характер.

Группировка Head Mare (Rainbow Hyena) не является новичком на кибершпионской арене. Ранее она уже связывалась с атаками на государственные структуры в Восточной Европе и Центральной Азии. Её методы работы, включая использование фишинга и сложного, скрытно действующего вредоносного ПО, позволяют отнести её к категории APT (Advanced Persistent Threat - усовершенствованная постоянная угроза). APT-группировки отличаются высокой технической оснащенностью, терпением и целеустремленностью, часто действуя по заказу государств или крупных организаций.

Данный инцидент ярко высвечивает сохраняющиеся уязвимости в первом рубеже обороны многих организаций - человеческом факторе. Несмотря на все технические средства защиты, одно неосторожное действие сотрудника может открыть злоумышленникам путь в корпоративную сеть. Эксперты в очередной раз подчеркивают критическую важность регулярного обучения персонала основам кибергигиены. Сотрудники должны уметь распознавать признаки фишинговых писем, такие как незнакомый отправитель, неожиданные вложения, грамматические ошибки и чувство срочности, которое пытается создать злоумышленник.

Кроме того, необходимы и технические контрмеры. Рекомендуется настройка почтовых фильтров для блокировки архивов .zip и файлов с двойными расширениями, использование систем песочницы (sandbox) для анализа подозрительных вложений, а также строгое соблюдение принципа минимальных привилегий для учетных записей пользователей. Это позволит ограничить потенциальный ущерб даже в случае успешного проникновения вредоносной программы.

В настоящее время специалисты продолжают исследовать PhantomPyramid, чтобы выявить все его возможности, каналы управления (C2-серверы) и методы обеспечения устойчивости в системе (persistence). Полученные данные будут использованы для обновления сигнатур антивирусного ПО и правил для систем обнаружения вторжений (IDS). Государственным учреждениям и компаниям КИИ рекомендовано усилить мониторинг сетевой активности и провести проверку на предмет возможных инцидентов, связанных с данной угрозой. Постоянная настороженность и многоуровневая защита остаются ключевыми принципами противодействия сложным целевым атакам.

Domains

• asrtagate.ru
• cloud-home.casa
• softline-solutions.cloud

MD5

• 5d14a3ca701a13315c1c364122de9808
• 71efca791ece40536662a0254c479507
• ebd1426788738bb3ab4c0495ff94d71d
• fc02c36af436de72367813f903b7ddd5