Новая кибергруппировка под названием Hellhounds

Центр экспертной безопасности Positive Technologies обнаружил новую кибергруппировку под названием Hellhounds. Эта группа уже взломала систему безопасности как минимум 20 российских организаций. Наибольший интерес группа проявляет к государственным ведомствам, IT-компаниям и организациям космической и энергетической отрасли.

В октябре 2023 года команда расследования инцидентов Positive Technologies обнаружила взлом российской энергетической компании с использованием новой модифицированной версии трояна Decoy Dog. Злоумышленник усовершенствовал ВПО, усложнив его обнаружение и анализ, и добавил дополнительный канал для обмена данными с оператором (злоумышленником) через новые функции телеметрии.
Decoy Dog" - интересный и сложный троян, ставший практически невидимым благодаря новым модификациям.
Троян имитирует легитимный трафик, хорошо скрывается в потоке данных, собирает интересующие APT-группу данные и загружает их в малоизвестные социальные сети на базе открытого движка Mastodon. Инструменты, тактика и техника, используемые обнаруженными группами, не могут быть связаны ни с одной из ранее известных APT-групп.

Новая кибергруппировка, которую эксперты окрестили Hellhounds, приложила немало усилий, чтобы скрыть свою деятельность на хостах и в сетях. Компания Positive Technologies зафиксировала атаки Hellhounds на компании, работающие в государственном секторе, ИТ-компании, космическом и энергетическом секторах, а также в сферах строительства, образования, транспорта и логистики, розничной торговли, телекоммуникаций и безопасности. Истинная цель группы Hellhounds пока неизвестна, но есть достоверная информация о том, что как минимум после одного взлома инфраструктуры деятельность пострадавшей компании была на время остановлена. Одной из причин успеха атак Hellhounds является наличие у компаний дополнительных систем мониторинга на Linux-серверах и редкое использование антивирусов. Эксперты Positive Technologies настоятельно рекомендуют организациям уделять больше внимания защите инфраструктуры на базе Linux.

Обнаруженные в этом случае скомпрометированные узлы еще раз доказывают, что подход, при котором эта операционная система объявляется непобедимой и ничтожно уязвимой для атак, является ошибочным. Эксперты рекомендуют использовать лучшие практики при настройке (укреплении) и управлении системами на базе Linux. Для глубокого анализа промышленного трафика используйте дополнительные системы мониторинга (MaxPatrol SIEM, MaxPatrol VM), антивирусную защиту, продукты класса EDR (MaxPatrol EDR) и системы PT ISIM. Также важно отслеживать сетевую активность с помощью систем NTA, таких как PT Network Attack Discovery, и проверять безопасность передаваемых объектов с помощью песочниц, таких как PT Sandbox.