Политически мотивированная группа хактивистов под названием Head Mare продолжает активно атаковать компании и госучреждения России и Беларуси. В последние месяцы атаки проводятся преимущественно с помощью эксплуатации уязвимости в архиваторе WinRAR, сообщают эксперты «Лаборатории Касперского».
Эксперты «Лаборатории Касперского» отмечают, что группировка Head Mare использует более современные методы для получения первоначального доступа. Например, по словам аналитиков, злоумышленники воспользовались сравнительно недавней уязвимостью CVE-2023-38831 в WinRAR, которая позволяет хакерам выполнить произвольный код в системе с помощью специально подготовленного архива. Такой подход позволяет группе более эффективно доставлять и маскировать вредоносную нагрузку.
Также отмечается, что Head Mare, действующая с 2023 года, является одной из хактивистских группировок, атакующих российские организации в контексте российско-украинского конфликта, начавшегося годом ранее.
Хактивисты активно публикуют информацию о своих атаках на платформе X, где они сливают конфиденциальную информацию и внутреннюю документацию жертв. Целями атак группы являются правительственные учреждения, транспорт, энергетика, производство и секторы охраны окружающей среды.
В «Лаборатории Касперского» уточняют, что, в отличие от других групп хактивистов, которые, вероятно, действуют с целью нанести максимальный ущерб компаниям России и Беларуси, группировка Head Mare также шифрует устройства жертв с помощью LockBit для Windows и Babuk для Linux (ESXi) и требует выкуп за расшифровку данных.
В набор инструментов хакеров из Head Mare также входят PhantomDL и PhantomCore. Первый представляет собой бэкдор на основе Go, способный доставлять дополнительные полезные данные и загружать интересующие файлы на сервер управления и контроля (C2). А PhantomCore (он же PhantomRAT), предшественник PhantomDL, представляет собой троян удалённого доступа со схожими функциями, позволяющий загружать файлы с сервера C2, выгружать файлы со скомпрометированного хоста на сервер C2, а также выполнять команды в интерпретаторе командной строки cmd.exe.
Оригинал публикации на сайте CISOCLUB: "Хактивисты начали использовать уязвимость WinRAR для атак на российские и белорусские компании".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.
