Группа Hellcat: новая угроза в мире RaaS
Источник: www.bridewell.com
Группа программ-вымогателей Hellcat превратилась в мощную угрозу в формате «Программы-вымогатели как услуга» (RaaS) с момента своего выявления в конце 2024 года. Они стали известны своими атаками на критически важную национальную инфраструктуру и государственные учреждения, включая такие организации, как Schneider Electric, Telefonica и Кнессет Израиля.
История формирования группы
Первоначально группа состояла из отдельных участников, среди которых выделялся ключевой фигурой по имени Pryx. Однако с 4 квартала 2024 года они официально объединились в группу Hellcat, показав активизацию своих операций.
Методы работы Hellcat
Принцип работы Hellcat включает в себя множество методов первоначального доступа:
- Подводная охота
- Использование уязвимостей в общедоступных приложениях
Группа использует сложную цепочку заражения PowerShell, что приводит к развертыванию вредоносного программного обеспечения SliverC2 — инструмента с открытым исходным кодом, созданного для управления скомпрометированными сетями. Процесс заражения начинается с вредоносного скрипта PowerShell, «s1.ps1», который устанавливает соединение с взломанным каталогом. Методы обфускации и манипуляции системным реестром помогают избежать обнаружения.
Современные угрозы и уязвимости
Особое внимание следует уделить передовым методам, таким как обход AMSI и отражающая загрузка кода, которые также являются частью платформы MITRE ATT&CK. Анализ показывает, что программы-вымогатели Hellcat и Morpheus имеют много общего:
- Схожие методологии
- Почти идентичные уведомления о требовании выкупа
Тем не менее, цели Hellcat, как правило, сосредоточены в Соединенных Штатах и Израиле, что указывает на финансовые и идеологические соображения.
Операционная безопасность и утечка данных
Члены Hellcat проявляют высокую степень осторожности в вопросах операционной безопасности (OPSEC), используя малозаметные инструменты, такие как BurpSuite и Netcat, для избежания обнаружения. Для передачи украденных данных они применяют уникальные методы утечки через облачные сервисы и даже специализированные вредоносные веб-сайты, например, waifu.cat.
Выводы и рекомендации
Недавние расследования предоставили подробную информацию об инфраструктуре, используемой Hellcat, включая IP-адреса для выполнения команд и размещения вредоносных программ. Группа проявляет инновации в методах проникновения, обсуждая уязвимости программного обеспечения Palo Alto PAN-OS.
Подводя итог, можно утверждать, что Hellcat представляет собой серьезную угрозу в мире программ-вымогателей, использующую комбинацию передовых методов входа, устойчивых методов работы и возможного сотрудничества с другими киберугрозами, такими как Morpheus. Постоянная бдительность и усовершенствованные средства защиты необходимы для смягчения последствий этих изощренных операций программ-вымогателей.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
