Специалисты Лаборатории цифровой криминалистики компании F.A.C.C.T. фиксируют новые атаки преступного синдиката Comet (ранее Shadow) / Twelve и их сообщников на российские компании.
Фактически перед нами группа "двойного назначения". Как Twelve участники этого преступного синдиката проводят кибердиверсии и уничтожают инфраструктуру жертв по политическим мотивам. В ряде случаев злоумышленники открыто берут на себя ответственность за успешные атаки на государственные организации или производственные компании. И, как это было недавно с одним из российских заводов полупроводниковых приборов, преступники не прочь даже поглумиться над жертвой в своем Telegram-канале.
https://habrastorage.org/r/w1560/get...79ec50e751.png
Скриншот из телеграм-канала группы Twelve
Атаки от имени Comet (ранее Shadow) киберпреступники обычно не афишируют, поскольку преследуют финансовую выгоду. Они сначала крадут и шифруют данные жертвы, а потом требуют выкуп за их расшифровку.
Вместе с тем, среди сообщников группы Comet (ранее Shadow) / Twelve есть участники, которые ранее «засветились» в рядах небезызвестной русскоговорящей преступной группы Cobalt, которую в свое время Европол обвинял в кражах около 1 млрд евро у 100 банков по всему миру.
В своем недавнем отчете Positive Technologies рассказали об инструментах, используемыми группировкой Cobalt, которые не только фиксировались специалистами Лаборатории цифровой криминалистики F.A.C.C.T. в исследованиях, но и по частным признакам позволили связать политически-мотивированную Twelve с финансово-мотивированной Comet (ранее Shadow).
Инструменты и сетевая инфраструктура
В процессе развития атак Comet (ранее Shadow) / Twelve используют вредоносные программы следующих семейств:<ul><li>DarkGate</li>
</ul><ul><li>FaceFish</li>
</ul><ul><li>SystemBC</li>
</ul><ul><li>Cobint / Cobalt Strike</li>
</ul>А на завершающем этапе для шифрования данных используют программы-вымогатели семейств LockBit 3 (Black) и Babuk, созданные на основе утекших в публичный доступ данных.
Наряду с общими инструментами, а также идентичными тактиками, техниками, процедурами группировка и их сообщники при проведении атак используют общую сетевую инфраструктуру. Это не раз отмечали эксперты F.A.C.C.T. Ниже представлен список адресов, которые использовались злоумышленниками в атаках, начиная с февраля 2023 года:<ul><li>192.210.160[.]165</li>
</ul><ul><li>45.89.65[.]199</li>
</ul><ul><li>5.181.234[.]58</li>
</ul><ul><li>5.252.177[.]181</li>
</ul><ul><li>62.113.116[.]211</li>
</ul><ul><li>78.46.109[.]143</li>
</ul><ul><li>88.218.61 [,]114</li>
</ul><ul><li>94.103.88[.] 115</li>
</ul><ul><li>94.103.91[.]56</li>
</ul><ul><li>94.158.247[.]118</li>
</ul><ul><li>193.201.83[.]18</li>
</ul><ul><li>45.11.181[.]206</li>
</ul><ul><li>212.118.54[.]88</li>
</ul><ul><li>193.201.83[.]17</li>
</ul><ul><li>popslunderflake[.]top</li>
</ul><ul><li>getanaccess [.] net</li>
</ul><ul><li>kavupdate[.]com</li>
</ul><ul><li>fsbkal[.]com</li>
</ul><ul><li>logilokforce[.]com</li>
</ul><ul><li>onexboxlive[.]com</li>
</ul><ul><li>stoloto[.]ai</li>
</ul><ul><li>ptnau[.]com</li>
</ul><ul><li>dnssign[.]xyz</li>
</ul><ul><li>ukr-net[.]website</li>
</ul>Наряду с указанными выше вредоносными программами неизменной популярностью у атакующих пользуются утилиты Ngrok и Anydesk для сохранения доступа к IT-периметру жертв. И этот список не является исчерпывающим, в зависимости от ситуации злоумышленники расширяют свой арсенал новыми инструментами.
Важно: в тех случаях, если вы фиксируете какую-либо активность с ресурсами преступного синдиката или нелегитимную активность с инфраструктурой программ NGROK (*.ngrok[.]io, .ngrok[.]com) и Anydesk (.net.anydesk[.]com) эксперты F.A.C.C.T. рекомендуют обратиться к команде по реагированию на инциденты — Лаборатории цифровой криминалистики и исследования вредоносного кода F.A.C.C.T., которая поможет провести реагирование на инцидент и минимизировать возможные риски в случаях форсирования событий.
Еще одной из "визитных карточек" преступного синдиката стал "угон" аккаунтов Telegram с рабочих станций пользователей скомпрометированной инфраструктуры. Стоит отметить то, что среди списка устройств увидеть устройства злоумышленников не получится, т.к. ими используется украденный токен авторизованной системы. Чтобы лишить атакующих возможности доступа к вашему Telegram-аккаунту, необходимо с мобильного устройства завершить все сторонние сессии.
Краткая история Shadow-Comet-Twelve
Comet (ранее Shadow) является финансово-мотивированной группой вымогателей, которая сначала похищает конфиденциальные данные из инфраструктуры жертвы, а затем шифрует их и вымогает выкуп за их расшифровку. По информации, полученной экспертами F.A.C.C.T. в ходе исследований, максимальный размер выкупа, требуемый злоумышленниками в 2023 году, составил $3,5 млн.
Группировка Twelve является политически-мотивированной группой, которая в результате своих атак сначала крадет конфиденциальные данные из инфраструктуры жертвы, а после разрушает ее IT-инфраструктуру путем необратимого шифрования и удаления данных. Далее злоумышленники публикуют украденную информацию в различных публичных источниках, а также используют ее для проведения каскадных атак на контрагентов жертвы.
После публикации, в которой эксперты компании F.A.C.C.T. сделали выводы том, что Shadow и Twelve — по сути это одна хак-группа с общими инструментами, техниками, а в нескольких атаках — и с общей сетевой инфраструктурой, группировка Shadow провела ребрендинг, взяв название Comet (C0met).
https://habr.com/ru/companies/f_a_c_c_t/news/775038/