Анализ атак DarkGaboon APT: методы, инструменты и цели 2023
Источник: habr.com
DarkGaboon APT продолжает эволюционировать: новые подробности кибератак на российские компании
В январе 2023 года эксперты по кибербезопасности продолжили расследование серии кибератак, совершаемых группой DarkGaboon APT против российских организаций. Об этих инцидентах впервые стало известно весной 2023 года. Новые данные выявили растущую сложность использованных тактик, методов и процедур (TTP), а также позволили раскрыть полностью цепочку атак, о которой ранее не было подробной информации.
Расширенный анализ атак DarkGaboon
Подробное исследование, проведённое Отделом комплексного реагирования на хакерские атаки, выявило ключевые компоненты деятельности группы DarkGaboon:
- Использование сетевого сканера NS – инструмента, применяемого с 2019 года в среде киберпреступников.
- Применение шифровальщика LockBit 3.0, одной из наиболее распространённых программ-вымогателей.
- Целенаправленное фокусирование на сотрудниках финансовых отделов с использованием фишинговых писем на русском языке.
Обращают на себя внимание технические детали вредоносной деятельности, включающие запутанные версии RAT (Remote Access Trojan) — Revenge и XWorm, распространяемые в виде вложений в формате RTF и scr файлов. Для обмана жертв злоумышленники использовали одинаковые имена файлов, поддельные PDF-изображения и недействительные сертификаты X.509, имитирующие атрибуты легитимных российских юридических лиц.
Механизмы распространения и внутренней активности
С 2023 года DarkGaboon активно распространяет документы в формате RTF, созданные на базе подлинных финансовых шаблонов, что повышает шанс успешного заражения. После проникновения в корпоративную сеть злоумышленники проводят внутреннюю разведку с помощью RAT, упакованного с помощью UPX и шифруемого алгоритмом AES-ECB с использованием хэша MD5 (например, ключ «oKuQzNc8L6QcYdrA5»).
Также обнаружено, что для рассылки вредоносных писем используется SMTP-сервер на территории России. Распространение происходит через инструменты, такие как Phpmailer, и домены верхнего уровня .ru, большинство из которых зарегистрированы совсем недавно. Инфраструктура злоумышленников включает:
- Сервисы динамического DNS;
- Решения для виртуального Windows-хостинга, арендованные у американского провайдера;
- Связь с регистрациями доменов на Сейшельских островах.
Примером служит домен Room155.online, зарегистрированный в марте 2023 года и активно участвовавший в передаче трафика, связанном с атаками.
Особенности поведения и modus operandi
Несмотря на широкое использование инструментов с открытым исходным кодом, таких как Revenge, XWORM и LockBit Clinker, DarkGaboon демонстрирует относительно независимый стиль работы, отличающийся от традиционных моделей RaaS (ransomware-as-a-service). В частности, в их сообщениях отсутствуют уникальные идентификаторы, которые позволили бы четко идентифицировать участников атак.
DarkGaboon шифрует файлы жертв и сопровождает действия русскоязычными ransom notes с инструкциями по расшифровке и контактной информацией через электронную почту. Помимо этого, в заметках указываются индикаторы утечки данных, что свидетельствует о наличии компонентов двойного шантажа.
Перспективы и рекомендации
Эксперты по кибербезопасности ожидают, что группа DarkGaboon продолжит свою активность в отношении российских компаний. В связи с этим рекомендовано:
- Усилить фильтрацию и обучение сотрудников финансовых подразделений для распознавания фишинговых угроз;
- Проводить регулярный аудит безопасности корпоративной сети, включая мониторинг специфических инструментов и доменов;
- Обеспечить постоянный мониторинг и реагирование на инциденты со стороны профильных структур безопасности.
Таким образом, DarkGaboon остаётся одной из заметных и развивающихся киберугроз на территории России, комбинируя современные технические приёмы с тщательно проработанной социальной инженерией.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
