Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

DragonForce 2023: Анализ масштабных атак на ключевые отрасли и инфраструктуру

3 мин
В 2023 году появилась новая хакерская группа DragonForce, которая за короткий срок успела атаковать более 170 организаций по всему миру. Их жертвами стали компании из различных секторов — от розничной торговли и логистики до технологий и критически важной национальной инфраструктуры (CNI). Несмотря на то, что группа придерживается внутреннего «морального кодекса», избегая атак на медицинские организации, их действия направлены на получение финансовой выгоды, а не на реализацию политических или хактивистских целей. Особенно заметны громкие взломы в секторе розничной торговли Великобритании, среди которых — атаки на такие крупные компании, как Marks and Spencer, the Co-Op Group и Harrods. Аналитики также выявили сотрудничество DragonForce с другой известной киберпреступной группой — Scattered Spider. Совместные действия подтверждают схожесть используемых методов и инструментов, а также дублирование программ-вымогателей с функциями, похожими на известные образцы от таких операторов, как L
Оглавление
Источник: www.bridewell.com
Источник: www.bridewell.com

DragonForce: Новая угроза в мире кибербезопасности

В 2023 году появилась новая хакерская группа DragonForce, которая за короткий срок успела атаковать более 170 организаций по всему миру. Их жертвами стали компании из различных секторов — от розничной торговли и логистики до технологий и критически важной национальной инфраструктуры (CNI). Несмотря на то, что группа придерживается внутреннего «морального кодекса», избегая атак на медицинские организации, их действия направлены на получение финансовой выгоды, а не на реализацию политических или хактивистских целей.

Основные цели и особый modus operandi

Особенно заметны громкие взломы в секторе розничной торговли Великобритании, среди которых — атаки на такие крупные компании, как Marks and Spencer, the Co-Op Group и Harrods. Аналитики также выявили сотрудничество DragonForce с другой известной киберпреступной группой — Scattered Spider. Совместные действия подтверждают схожесть используемых методов и инструментов, а также дублирование программ-вымогателей с функциями, похожими на известные образцы от таких операторов, как LockBit и Conti.

Методы получения и расширения доступа

DragonForce активно использует различные методы для первоначального проникновения в систему жертв. Наиболее распространённой тактикой является фишинг — злоумышленники рассылают поддельные электронные письма, маскируясь под надежные порталы, и при помощи социальной инженерии получают учетные данные.

  • В атаках отмечено злоупотребление скомпрометированными учетными записями, например, в случае с Marks & Spencer взломщики использовали модифицированную базу данных Windows Active Directory для извлечения конфиденциальной информации.
  • Группа часто применяет действительные учетные данные сторонних поставщиков, что значительно расширяет возможности проникновения и охват жертв.
  • Для первоначального доступа также эксплуатируются уязвимости в общедоступных приложениях и серверах — в частности, в таких технологиях, как Apache, RDP и VPN-сервисы. Среди известных эксплуатируемых уязвимостей — CVE-2021-44228 и CVE-2023-46805.

Тактика внутри сети и инструменты атаки

Оказавшись внутри инфраструктуры, операторы DragonForce применяют PowerShell для загрузки дополнительного вредоносного ПО. Это ПО запускается при старте системы и обеспечивает злоумышленникам постоянный доступ, в том числе за счёт изменений в реестре Windows.

В частности, в арсенале группы есть SystemBC proxy — вредоносное ПО, позволяющее обеспечить скрытую связь с заражённой системой через черный ход. Для перемещения внутри сети используются внутренние протоколы — RDP и SMB, часто при поддержке таких инструментов, как Cobalt Strike и PsExec.

Программы-вымогатели и дальнейшие действия

В финальной стадии атаки DragonForce запускает собственную программу-вымогатель, которая шифрует данные на различных устройствах. Особенности работы вымогателей включают:

  • Продвинутые методы повышения привилегий;
  • Обход средств защиты;
  • Эффективные процедуры шифрования файлов.

После завершения шифрования злоумышленники удаляют параметры восстановления системы, что препятствует попыткам восстановления данных без расшифровки.

Методы сбора информации и управление атакой

Для сбора учетных данных и анализа архитектуры скомпрометированных систем используются следующие подходы:

  • Прямой доступ к памяти с применением Mimikatz для извлечения паролей;
  • Анализ информации из базы данных Active Directory;
  • Использование инструментов, таких как AdFind, для сбора сетевой информации и понимания структуры инфраструктуры жертвы.

Инфраструктура командования и контроля (C2) группы в основном основана на Cobalt Strike. При этом отмечается наличие большого числа уникальных IP-адресов, что говорит о высоком уровне организации и структурированном подходе к киберпреступной деятельности.

Заключение

DragonForce демонстрирует высокий профессионализм и прекрасно отлаженную тактику, позволяющую им успешно вести атакующие операции на международном уровне. Несмотря на внутренний «моральный кодекс», их действия несут серьёзные риски для организаций из различных индустрий и вызывают тревогу у экспертов в области кибербезопасности.

В условиях возросшей активности подобных групп компаниям необходимо усилить защиту, уделять особое внимание обучению сотрудников, а также своевременно обновлять системы и устранять уязвимости.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "DragonForce 2023: Анализ масштабных атак на ключевые отрасли и инфраструктуру".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.