Операция DoppelBrand: фишинг GS7, кража учетных данных и злоупотребление RMM

Команда SOCRadar по поиску угроз обнаружила сложную и длительно действовавшую фишинг-кампанию под названием DoppelBrand, направленную преимущественно против компаний из списка Fortune 500 и их клиентов. За атрибуцией атаки стоит актор, известный как GS7, активный приблизительно десять лет и постоянно совершенствующий тактику, инфраструктуру и модель монетизации полученных доступов.

Ключевые выводы

• Актор: GS7 — профессиональный посредник доступа с заметным присутствием на подпольных рынках Бразилии.
• Методы доставки: фишинг через поддельные интерфейсы OneDrive с перенаправлением на специализированные панели рассылки.
• Эксфильтрация: сбор логинов, паролей, IP-адресов и геолокационных данных; данные фильтруются в режиме реального времени в Telegram‑группы NfResultz by GS и WfResultz by GS.
• Удержание доступа: злоупотребление легитимными средствами удаленного управления (RMM) — LogMeIn, AnyDesk, ScreenConnect — с автоматической установкой через VBS-скрипты и msiexec.exe.
• Цели: в первую очередь финансовые учреждения; также сектора технологий, здравоохранения и потребительских услуг. География — преимущественно США и Западная Европа.

Как работает кампания

Операция использует многослойную стратегию обмана и автоматизации. На первом этапе жертве отправляется фишинг‑сообщение, которое ведет на поддельный вход в систему OneDrive. Поддельный интерфейс оформлен так, чтобы имитировать разные варианты провайдеров услуг и создать ощущение легитимности. Затем пользователь перенаправляется на специализированную фишинг‑панель, где запрашиваются учетные данные.

Собранные данные включают имена пользователей, пароли и IP-адреса; дополнительно выполняется сбор геолокации и сведений об интернет‑провайдере. Информация передаётся в режиме реального времени в Telegram‑группы (NfResultz by GS, WfResultz by GS), а пользователь незаметно перенаправляется обратно на законный сайт, чтобы скрыть факт фишинга и снизить подозрительность.

Удержание и расширение доступа: злоупотребление RMM

Для получения постоянного доступа операторам GS7 достаточно одного успешного открытия доступа. После компрометации системы злоумышленник запускает VBS-скрипт, который:

• проверяет наличие прав администратора на целевой машине;
• при необходимости пытается повысить привилегии через UAC;
• автоматически устанавливает программное обеспечение RMM с помощью msiexec.exe (LogMeIn, AnyDesk, ScreenConnect);
• удаляет установочные файлы и прочие следы, чтобы осложнить последующее расследование.

Цели, география и шаблоны атак

Главная коммерческая ценность для GS7 — это банковские учетные записи и доступы к платежным платформам, которые быстро перепродаются на подпольных рынках. Кроме того, скомпрометированные корпоративные сети могут быть выставлены на продажу операторам программ‑вымогателей. Основной упор делается на англоязычные шаблоны фишинга и нацеливание на организации в США и Западной Европе.

Как была установлена принадлежность к GS7

Атрибуция операции к GS7 опирается на несколько видов доказательств:

• анализ кода фишинговых панелей мониторинга и их инфраструктуры;
• токены и конфигурации Telegram‑ботов, используемых для эксфильтрации;
• конкретные соглашения об именовании доменов и повторяющиеся шаблоны в инфраструктуре;
• сопоставление данных активности на подпольных рынках и прямые взаимодействия с актором, которые подтвердили модель посредничества в доступах.

Последствия и оценка риска

DoppelBrand демонстрирует эволюцию фишинга: сочетание автоматизированной инфраструктуры, точной имперсонации брендов, эксфильтрации учетных данных в реальном времени и последующего злоупотребления легитимными инструментами удаленного управления для закрепления доступа. Это повышает как скорость компрометации, так и экономическую отдачу для злоумышленников.

Рекомендации по защите

Организациям, особенно финансовым институтам и крупным предприятиям, следует принять следующие меры для снижения риска:

• внедрить многофакторную аутентификацию (MFA) для всех внешних сервисов, включая OneDrive и корпоративные почтовые системы;
• усилить почтовые фильтры и антифишинг‑защиту, настроить блокировку поддельных доменов и доменных подобий;
• ограничить установку любых RMM‑клиентов привилегиями и централизовать их развёртывание через доверенные менеджеры ПО;
• внедрить мониторинг событий безопасности, детектирование аномалий входа и подозрительных удалённых подключений;
• ввести жёсткую политику контроля привилегий и конфигурацию UAC, минимизировать права локальных администраторов;
• активно отслеживать утечки и торговлю доступами на подпольных рынках и обмениваться IOC с сообществом угроз.

Вывод: операция DoppelBrand — показатель того, как киберпреступники превращают фишинг в масштабируемый бизнес: автоматизированная эксфильтрация в связке с выстроенной системой продажи доступов делает такие кампании особенно опасными. Комплексная защита — от обучения сотрудников до технических ограничений на установку RMM и оперативного обмена данными о угрозах — остаётся единственным надёжным ответом.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.