Escaneo: атаки на критическую инфраструктуру и финсектор Латинской Америки

Operation Escaneo: как MexicanMafia, он же Pancho Villa, атакует критическую инфраструктуру Латинской Америки

Операция Escaneo стала одной из наиболее заметных киберкампаний, направленных против критической инфраструктуры и финансовых учреждений в Латинской Америке. По данным отчета, кампания в основном приписывается злоумышленнику, известному как MexicanMafia или Pancho Villa, и отличается высокой степенью координации, а также широким набором тактик, техник и процедур, соответствующих MITRE ATT&CK.

Атакующий использует весь цикл кибероперации — от разведки и поиска уязвимостей до закрепления в инфраструктуре и эксфильтрации данных. Такой подход указывает не на разовые атаки, а на системную, хорошо подготовленную кампанию, нацеленную на долгосрочное присутствие в сетях жертв.

Kimera: собственный движок разведки и картирования

В основе операции лежит проприетарный разведывательный движок Kimera. Он предназначен для распределенного картирования инфраструктуры и выполняет параллелизованную перечисляцию поддоменов, а также автоматизированный поиск уязвимостей.

По сути, речь идет о специализированной платформе, которая позволяет атакующему быстро масштабировать разведку, выявлять доступные поверхности атаки и выбирать наиболее перспективные цели внутри корпоративной среды.

Эксплуатация Fortinet, Ivanti, Cisco, SAP и Oracle

Кампания опирается на оперативную коллекцию эксплойтов, ориентированную прежде всего на уязвимости в корпоративных устройствах и приложениях. Среди упомянутых в отчете векторов атаки:

• устройства Fortinet, Ivanti и Cisco;
• CVE-2022-42475;
• CVE-2023-27997;
• CVE-2024-21762;
• прикладные эксплойты для систем SAP и Oracle.

Особое внимание злоумышленник уделяет устройствам FortiGate SSL-VPN, используя сразу несколько критических уязвимостей. Это подтверждает, что в фокусе кампании находятся не только конечные серверы, но и периметровая инфраструктура, через которую можно получить быстрый первоначальный доступ к сети.

Закрепление доступа и скрытые каналы управления

После проникновения атакующие демонстрируют способность сохранять присутствие как в Windows, так и в Linux-средах. Для этого применяются веб-шеллы, обратные туннели и скомпрометированные маршрутизаторы, которые используются для создания скрытых каналов управления.

Среди отмеченных инструментов фигурируют Neo-reGeorg для закрепления доступа через web и Chisel для обеспечения связности. Такой набор инструментов типичен для операций, где важны скрытность, устойчивость к обнаружению и возможность обхода сетевых ограничений.

Кража данных и фокус на государственном секторе

Несколько инцидентов, связанных с этой угрозой, включают значительную кражу данных из мексиканских государственных агентств и страховых компаний. В похищенных наборах данных, по информации отчета, содержались учетные данные, PII и конфиденциальные юридические документы.

Это указывает не только на разведывательный интерес злоумышленников, но и на высокий потенциал для финансового ущерба, вымогательства и дальнейшего использования украденной информации в целевых операциях.

Тактики: от устаревших систем до EternalBlue

Методология атак строится на эксплуатации устаревших систем и не исправленных уязвимостей для быстрого получения первоначального доступа. После этого злоумышленник перемещается внутри скомпрометированных сетей, используя как традиционные техники, так и более продвинутые методы, включая EternalBlue.

Отчет также указывает на систематическое картирование сред Active Directory и процессов закупок. Это свидетельствует о том, что целью может быть не только проникновение в сеть, но и выявление наиболее ценных узлов управления, финансовых потоков и административных ролей.

Почему это важно для региона

Наблюдаемая модель атак демонстрирует целенаправленную региональную стратегию, ориентированную преимущественно на правительственные министерства и поставщиков критической инфраструктуры в странах Латинской Америки. Тактическая изощренность, широкий инструментарий и последовательное развитие атаки делают эту кампанию особенно опасной для организаций, где уже есть устаревшие или плохо сегментированные системы.

Авторы отчета подчеркивают необходимость надежных механизмов обнаружения, особенно в части:

• каналов управления;
• злоупотребления выполнением приложений;
• стратегий закрепления;
• обнаружения признаков lateral movement;
• контроля за эксфильтрацией данных.

Operation Escaneo показывает, что современные киберугрозы все чаще сочетают собственные инструменты, эксплуатацию публичных уязвимостей и многоэтапные сценарии закрепления. Для защищающихся организаций это означает необходимость не только своевременного patch management, но и постоянного мониторинга сетевой активности, периметра и внутреннего трафика.