Анализ атак группы Datacarry: эксплуатация уязвимости CVE-2023-48788

С июня 2024 по июнь 2025 года группа программ-вымогателей Datacarry провела серию целенаправленных атак на 11 европейских и международных организаций. Первый зафиксированный инцидент произошёл в литовской страховой компании Balcia Insurance. В отчёте детально описана тактика и методы, используемые злоумышленниками, основываясь на анализе общедоступных данных об инцидентах.

Методы и инструменты атаки

Группа Datacarry эффективно использовала открытые OSINT-сервисы для разведки и выявления уязвимостей в инфраструктуре жертв. Одной из ключевых уязвимостей стала CVE-2023-48788 — SQL-инъекция в Fortinet EMS, позволяющая удалённо выполнять код через функцию xp_cmdshell. Эксплуатация этой уязвимости обеспечила злоумышленникам контроль над системами и возможность дальнейшего распространения.

Инфраструктура группы отличалась высокой степенью устойчивости за счёт следующих элементов:

• использование сменяющихся прокси-серверов;
• малоизвестные методы связи через WebSocket;
• применение инструмента туннелирования Chisel, работающего по протоколам TCP/UDP через HTTP/WebSocket, который был обнаружен на серверах управления (C2).

Программное обеспечение и показатели компрометации (IOCs)

Вредоносные модули Datacarry представляют собой модифицированную версию программы-вымогателя Conti. Основной компонент, написанный на языке Go, отличался не только механизмами сохранения присутствия через WebSocket, но и встроенными функциями туннелирования и работы в роли прокси-сервера.

Эксперты подтвердили наличие уникальных IOCs, которые включают:

• MD5-хэши вредоносного ПО;
• специфические шаблоны сетевых коммуникаций, характерные для Datacarry.

Эти показатели позволяют специалистам по безопасности своевременно выявлять деятельность группы и предотвращать компрометации.

Динамика атак и состояние инфраструктуры

График активности показал следующую тенденцию:

• умеренный уровень атак с июнь 2024 по март 2025 — примерно одна жертва в месяц;
• эскалация активности весной 2025 года — атакам подверглись пять организаций за три месяца;
• к концу июня 2025 инфраструктура группы была значительно выведена из эксплуатации после подключения к сети Tor.

Рекомендации по обеспечению безопасности

Для минимизации рисков, связанных с деятельностью Datacarry, эксперты предлагают следующий комплекс мер:

• Исправление уязвимости CVE-2023-48788 — немедленное обновление Fortinet EMS и применение официальных патчей;
• отключение ненужных функций на SQL-серверах, в частности xp_cmdshell;
• мониторинг и анализ необычно длительных WebSocket-подключений, которые могут указывать на туннельную активность;
• блокировка взаимодействия с подозрительными портами;
• улучшение ведения журналов безопасности, особенно для контроля изменений в RDP и реестре;
• внедрение строгой сегментации сети для ограничения распространения инфекции;
• пересмотр и усиление политики управления исправлениями и обновлениями.

_Комплексный подход к защите поможет предотвратить успешные атаки и снизить последствия возможных инцидентов._

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.