Специалисты RED Security и CICADA8 идентифицировали новую хакерскую группировку Cloaked Shadow, специализирующуюся на кибершпионаже в отношении крупных российских предприятий. Атаки направлены преимущественно на организации ИТ- и промышленного секторов.
Скрытые и целенаправленные атаки
Группировка использует продвинутые методы маскировки, затрудняющие обнаружение их активности в корпоративных сетях. Вредоносное ПО, применяемое злоумышленниками, адаптируется под инфраструктуру каждой конкретной жертвы, что свидетельствует о тщательной подготовке операций.
Тактика проникновения и закрепления
- Первичный доступ получается через уязвимости на внешних сервисах.
- Для подключения к внутренним системам применяются легальные инструменты с открытым кодом, не вызывающие подозрений у систем защиты.
- В Linux-средах закрепление происходит через системные службы, в Windows — с помощью запланированных задач.
- Эскалация привилегий и продвижение по сети.
После проникновения злоумышленники:
- Повышают права доступа, используя уязвимости (ESC-серии), легитимные учетные записи или кражу базы ntds.dit (содержащей данные всех пользователей).
- Создают сложные цепочки серверов внутри сети, что затрудняет обнаружение источника атаки.
- Проводят масштабную эксфильтрацию данных: паролей, ключей, сертификатов, документов и других конфиденциальных материалов.
Методы уклонения от обнаружения:
- Отключение логирования и удаление журналов событий.
- Маскировка под системные процессы для скрытия вредоносной активности.
- Использование динамически меняющихся C&C-серверов для усложнения блокировки.
Максим Суханов, CICADA8: «Критически важно контролировать целостность ПО, отслеживать появление неизвестных исполняемых файлов и жестко управлять привилегированным доступом, включая SSH-ключи».
Уникальное вредоносное ПО
Cloaked Shadow применяет кастомизированные бэкдоры, адаптированные под каждую жертву. Это подтверждает точечный, а не массовый характер атак.
Кроме того, вредоносное ПО имеет механизмы обхода блокировок доступа к управляющим серверам.
Рекомендации по защите
Никита Полосухин, RED Security SOC: «Группировка обладает значительными ресурсами и высоким уровнем подготовки. Мы продолжаем мониторинг ее активности и расширяем базу индикаторов компрометации для оперативного выявления атак».
Дополнительные меры
RED Security SOC опубликовал индикаторы компрометации (IoC) и детальный анализ Tactics, Techniques and Procedures (TTP) группировки. CICADA8 рекомендует усилить мониторинг аномальной активности и регулярно проводить аудит безопасности.
Cloaked Shadow представляет серьезную угрозу для корпоративного сектора. Противодействие требует комплексного подхода, включая анализ поведения (UEBA), сегментацию сетей и строгий контроль доступа.
Фото: Firestock.