С июня 2024 по июнь 2025 года группа программ-вымогателей Datacarry провела серию целенаправленных атак на 11 европейских и международных организаций. Первый зафиксированный инцидент произошёл в литовской страховой компании Balcia Insurance. В отчёте детально описана тактика и методы, используемые злоумышленниками, основываясь на анализе общедоступных данных об инцидентах.
Методы и инструменты атаки
Группа Datacarry эффективно использовала открытые OSINT-сервисы для разведки и выявления уязвимостей в инфраструктуре жертв. Одной из ключевых уязвимостей стала CVE-2023-48788 — SQL-инъекция в Fortinet EMS, позволяющая удалённо выполнять код через функцию xp_cmdshell. Эксплуатация этой уязвимости обеспечила злоумышленникам контроль над системами и возможность дальнейшего распространения.
Инфраструктура группы отличалась высокой степенью устойчивости за счёт следующих элементов:
- использование сменяющихся прокси-серверов;
- малоизвестные методы связи через WebSocket;
- применение инструмента туннелирования Chisel, работающего по протоколам TCP/UDP через HTTP/WebSocket, который был обнаружен на серверах управления (C2).
Программное обеспечение и показатели компрометации (IOCs)
Вредоносные модули Datacarry представляют собой модифицированную версию программы-вымогателя Conti. Основной компонент, написанный на языке Go, отличался не только механизмами сохранения присутствия через WebSocket, но и встроенными функциями туннелирования и работы в роли прокси-сервера.
Эксперты подтвердили наличие уникальных IOCs, которые включают:
- MD5-хэши вредоносного ПО;
- специфические шаблоны сетевых коммуникаций, характерные для Datacarry.
Эти показатели позволяют специалистам по безопасности своевременно выявлять деятельность группы и предотвращать компрометации.
Динамика атак и состояние инфраструктуры
График активности показал следующую тенденцию:
- умеренный уровень атак с июнь 2024 по март 2025 — примерно одна жертва в месяц;
- эскалация активности весной 2025 года — атакам подверглись пять организаций за три месяца;
- к концу июня 2025 инфраструктура группы была значительно выведена из эксплуатации после подключения к сети Tor.
Рекомендации по обеспечению безопасности
Для минимизации рисков, связанных с деятельностью Datacarry, эксперты предлагают следующий комплекс мер:
- Исправление уязвимости CVE-2023-48788 — немедленное обновление Fortinet EMS и применение официальных патчей;
- отключение ненужных функций на SQL-серверах, в частности xp_cmdshell;
- мониторинг и анализ необычно длительных WebSocket-подключений, которые могут указывать на туннельную активность;
- блокировка взаимодействия с подозрительными портами;
- улучшение ведения журналов безопасности, особенно для контроля изменений в RDP и реестре;
- внедрение строгой сегментации сети для ограничения распространения инфекции;
- пересмотр и усиление политики управления исправлениями и обновлениями.
_Комплексный подход к защите поможет предотвратить успешные атаки и снизить последствия возможных инцидентов._
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Анализ атак группы Datacarry: эксплуатация уязвимости CVE-2023-48788".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.