Фишинговая кампания Rainbow Hyena: угроза медицинским и IT-организациям в России
Хакерская группировка Rainbow Hyena cluster запустила масштабную фишинговую кампанию, нацеленную на российские медицинские и IT-организации. Используя взломанные учетные записи легитимных компаний, злоумышленники распространяли вредоносные письма, которые благодаря сложным техническим приемам имели высокую вероятность обхода систем безопасности.
Методы атаки: сложные техники уклонения и маскировка
Чтобы повысить шансы обхода защитных систем, хакеры применяли необычные подходы:
- Использование файлов polyglot и LNK, выглядящих как легитимные документы, что затрудняет их автоматическое выявление;
- Включение в письма ссылок на хорошо известные контракты, создающих иллюзию доверия;
- Распространение вредоносной программы PhantomRemote — специально разработанного бэкдора.
PhantomRemote: как работает новый бэкдор
PhantomRemote — это вредоносное ПО, написанное на C++ в формате PE32+ DLL. Его основные возможности:
- Сбор системной информации;
- Выполнение произвольных команд через интерфейс командной строки (cmd.exe);
- Связь с сервером управления (C2) через HTTP-запросы GET и POST.
Особенности реализации вредоноса делают его особенно опасным и сложным для обнаружения:
- Рабочий код внедрен в функцию DllMain, что усложняет анализ;
- Использование поддельных заголовков User-Agent, имитирующих легитимные приложения (например, YandexUpdate и MicrosoftAppStore);
- Создание рабочего каталога в папке %ProgramData% с разными именами для маскировки.
Тактические приёмы и снижение вероятности обнаружения
PhantomRemote применяет временные задержки для выполнения команд, продолжительностью 1 или 10 секунд в зависимости от успешности предыдущих операций. Такая тактика:
- Снижает нагрузку на инфраструктуру злоумышленников;
- Уменьшает шанс обнаружения вредоносного ПО средствами мониторинга.
Выводы и последствия
Данная кампания демонстрирует использование передовых методов фишинга, которые эксплуатируют уязвимости организаций в критически важных отраслях. Медицинские учреждения и компании в сфере IT остаются в зоне высокого риска из-за сложности своевременного выявления и нейтрализации подобных угроз.
_Rainbow Hyena cluster_ продолжает совершенствовать свои инструменты и тактики, что требует от специалистов по кибербезопасности постоянного обновления защитных средств и повышения осведомленности сотрудников, особенно при работе с электронными письмами из внешних источников.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Передовые фишинговые атаки группы Rainbow Hyena на мед и IT".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.