Ранее неизвестная хакерская группа была идентифицирована как инициатор ряда атак, направленных на предприятия топливной, энергетической и авиационной промышленности в России, США, Индии, Непале, Тайване и Японии с целью кражи данных из взломанных сетей.
Компания Positive Technologies, специализирующаяся на кибербезопасности, окрестила группировку «ChamelGang», ссылаясь на маскировку «вредоносного ПО и сетевой инфраструктуры под легитимные сервисы Microsoft, TrendMicro, McAfee, IBM и Google».
«Для достижения своих целей злоумышленники использовали модный сегодня метод проникновения - цепочку поставок» - рассказали исследователи. «Группа скомпрометировала дочернюю компанию и через нее проникла в сеть целевой компании. Атаки с миспользованием доверительных отношений сегодня редки из-за сложности их выполнения. Используя этот метод группа ChamelGang смогла достичь своей цели и похитить данные из взломанной сети».
Предполагается, что организованные злоумышленниками вторжения начались в конце марта 2021 года, а последующие атаки были проведены в августе с использованием так называемой цепочки уязвимостей ProxyShell, затрагивающей серверы Microsoft Exchange, технические подробности которой были впервые раскрыты на конференции по безопасности Black Hat USA 2021 в начале того же месяца.
Атака в марте примечательна тем фактом, что хакеры взломали дочернюю организацию, чтобы получить доступ к сети неназванной энергетической компании, используя недостаток в Red Hat JBoss Enterprise Application (CVE-2017-12149) для удаленного выполнения команд на хосте и развертывания кода, который позволяет запускать вредоносное ПО с повышенными привилегиями, производить латеральное перемещение по сети и проводить разведку, прежде чем был развернут бэкдор под названием DoorMe.
«Зараженные узлы контролировались злоумышленниками с помощью общедоступной утилиты FRP (быстрый обратный прокси), написанной на языке Golang» - сообщили исследователи. «Эта утилита позволяет подключаться к серверу реверс-прокси. Запросы злоумышленников направлялись с помощью плагина socks5 через адрес сервера, полученный из конфигурационных данных».
С другой стороны, августовская атака на российскую компанию, работающую в сфере авиастроения, включала использование дефектов ProxyShell (CVE-2021-34473, CVE-2021-34523 и CVE-2021-31207) для создания дополнительных веб-оболочек и проведения удаленной разведки на скомпрометированном узле, что в итоге привело к установке модифицированной версии имплантата DoorMe с расширенными возможностями по запуску произвольных команд и выполнению файловых операций.
«Атаки на топливно-энергетический комплекс и авиационную промышленность в России не уникальны - этот сектор входит в тройку наиболее часто атакуемых» - заявил руководитель отдела анализа угроз Positive Technologies Денис Кувшинов. «Однако последствия серьезны: чаще всего такие атаки приводят к финансовым потерям или потере данных - в 84% всех случаев в прошлом году атаки были специально нацелены на кражу данных, что наносит серьезный финансовый и репутационный ущерб».
Источник: https://is-systems.org