Злоумышленники пользуются низким уровнем защиты Linux-систем, а созданная ими модификация уже известного трояна Decoy Dog незаметна для большинства средств защиты
Экспертный центр безопасности Positive Technologies (PT Expert Security Center) обнаружил новую кибергруппировку, которую назвал Hellhounds. Она уже скомпрометировала по меньшей мере 20 российских организаций. Больше всего группировку интересуют государственные учреждения, IT-компании, организации космической и энергетической отраслей.
В октябре 2023 года команда по расследованию инцидентов Positive Technologies обнаружила компрометацию российской энергетической компании с использованием новой модификации трояна Decoy Dog, который позволяет получить управление над зараженными узлами, а также развивать атаку в скомпрометированной инфраструктуре. Злоумышленники доработали ВПО, усложнив обнаружение и анализ, и добавив дополнительный канал обмена данными с оператором (злоумышленником) через новую функцию телеметрии.
«Decoy Dog — интересный и сложный троян, а новая модификация сделала его почти невидимкой. Он хорошо скрывает себя в потоке данных, мимикрируя под легитимный трафик, собирает интересные APT-группировке данные и выгружает их в малоизвестную социальную сеть на основе открытого движка Mastodon», — рассказывает Денис Кувшинов, руководитель отдела исследования угроз информационной безопасности экспертного центра безопасности Positive Technologies (PT Expert Security Center).
Используемые выявленной группировкой инструменты в сочетании с тактиками и техниками не позволяют соотнести их действия ни c одной из ранее известных APT-групп. Новая кибергруппировка, названная экспертами Hellhounds, прикладывает значительные усилия для сокрытия своей активности на узлах и в сети.
Помимо госсектора, IT-компаний, космической и энергетической отраслей, Positive Technologies зафиксировала атаки группы Hellhounds на компании, работающие в сферах строительства, образования, транспорта и логистики, ритейла, телекоммуникаций и безопасности.
Истинные задачи группы Hellhounds пока не известны, однако имеется достоверная информация как минимум об одном факте уничтожения инфраструктуры, за которым последовала остановка деятельности компании-жертвы на некоторое время. Одна из причин успешности атак этой группировки заключается в том, что компании очень редко используют дополнительные системы мониторинга и антивирусы на серверах под управлением Linux.
Эксперты Positive Technologies настоятельно рекомендуют организациям уделять больше внимания защите инфраструктуры на базе Linux. Обнаруженные скомпрометированные узлы в очередной раз подтверждают ошибочность подхода, декларирующего неуязвимость этой ОС и ее ничтожно малую подверженность атакам.
Специалисты рекомендуют использовать лучшие практики по настройке (харденингу) и администрированию систем на базе Linux. Применять дополнительные системы мониторинга (событий ИБ и управления инцидентами MaxPatrol SIEM, управления уязвимостями MaxPatrol VM), средства антивирусной защиты, продукты класса EDR (MaxPatrol EDR) и систему глубокого анализа промышленного трафика PT ISIM. Также важно мониторить сетевую активность с помощью NTA-систем, например, PT Network Attack Discovery и проверять безопасность передаваемых объектов с помощью песочницы, например, PT Sandbox.