Поделиться
Таинственные хакеры крепко взялись за топливные и авиационные компании в России, США и по всему миру
Кибергруппировка, маскирующая свои инструменты под легитимные сервисы, взламывает дочерние компании крупных игроков топливно-энергетического и авиационного секторов. Среди жертв как минимум одна компания из России.
Атака неизвестных хакеров
Ранее неизвестная APT-группировка атакует топливно-энергетический и авиационный сектор в России, США, Индии, Непале, Тайване и Японии.
Эксперты компании Positive Technologies обнаружили группировку ChamelGang. Отсылка к хамелеону связана с тем, что группировка маскирует свои вредоносные инструменты и сетевую инфраструктуру под легитимные сервисы Microsoft, Trend Micro, McAfee, IBM и Google.
ChamelGang специализируется на атаках через цепочки поставок. Сперва они атакуют дочерние компании и подрядчиков своих основных целей, и уже через их инфраструктуру проникали в сети нужных им организаций, используя доверенные соединения между компаниями.
Атаки, по мнению экспертов Positive, начались в марте 2021 г. В разное время злоумышленники использовали разные уязвимости. Например, ранее была произведена успешная атака через уязвимость в приложении Red Hat JBoss Enterprise Application (CVE-2017-12149), допускающую запуск произвольных команд в уязвимой системе.
Подробности о программе
Операторы ChamelGang атаковали дочернее предприятие некоей неназванной топливной компании и установили в интересующих сетях бэкдор DoorMe.
«Злоумышленники контролировали зараженные хосты с помощью общедоступной утилиты FRP (fast reverseproxy), написанной на Golang, — пишут исследователи. — Эта утилита позволяет устанавливать соединения с обратным прокси-сервером. Запросы злоумышленников перенаправлялись с помощью плагина socks5 через адрес сервера, полученного из настроечных данных».
В августе 2021 г. злоумышленники уже задействовали уязвимости Proxy Shell (CVE-2021-34473, CVE-2021-34523 и CVE-2021-31207). Их операторы использовали для загрузки дополнительные веб-шеллы и проведения разведки в скомпрометированных узлах сети. После этого устанавливалась модифицированная версия DoorMe с расширенными возможностями, через которую можно было запускать нужные злоумышленникам команды и проводить операции с отдельными файлами.
Жертвой на этот раз стала российская авиакомпания. «Киберзлоумышленники очень внимательно отслеживают информацию об уязвимостях, в том числе ту, которая поступает из открытых и легитимных источников, — говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. — Они прекрасно осознают, что в большинстве случаев проходит немало времени с момента публикации сведений об уязвимости и выхода патчей к ней и до установки этих патчей на уязвимые системы. Речь может идти о месяцах и годах, например, первая уязвимость, которой воспользовались операторы ChamelGang, датирована и вовсе 2017 г.».
Эксперты также отметили, что операторы Chamel Gang использовали значительное количество фишинговых доменов, якобы принадлежащих крупным корпорациям или связанных с их разработками: newtrendmicro.com, central google.com, microsoft-support.net, cdn-chrome.com, mcafee-upgrade.com. Свои серверы злоумышленники также снабдили поддельными SSL-сертификатами, которые с высокой долей убедительности имитировали настоящие.
Специалистам Positive Technologies пока не удалось проассоциировать ChamelGang с каким бы то ни было конкретным государством.
Поделиться
Короткая ссылка
