Представлены детали атак Head Mare на компании в России и Беларуси

Эксперты проанализировали, как происходят атаки и какие инструменты используют злоумышленники. В частности, была установлена связь с недавними целевыми атаками на российские организации с применением вредоносного ПО PhantomDL.

Head Mare можно отнести к числу хактивистских групп, появившихся в последние два года. Впервые она заявила о себе в 2023 году. Группа атакует компании из России и Беларуси, вероятно, ее цель — нанести им максимальный ущерб. Информацию о жертвах, включая названия организаций, их внутренние документы, скриншоты рабочих столов и административных консолей, злоумышленники публикуют в открытых аккаунтах. На момент исследования группа заявила о девяти атакованных компаниях из разных отраслей — госсектора, транспорта, энергетики, производства, сферы развлечений.

В отличие от других хактивистских групп, Head Mare не ограничивается общедоступными инструментами. Например, она использует для получения первоначального доступа хорошо продуманные фишинговые кампании с эксплуатацией уязвимости в WinRAR, которая позволяет выполнить собственное вредоносное ПО. Это говорит о том, что злоумышленники совершенствуют свои техники, тактики и процедуры, чтобы повысить эффективность атак. 

Стандартные инструменты. Как и большинство хактивистских групп, Head Mare в основном пользуются общедоступными вредоносными программами. Например, для шифрования файлов, что является конечной целью атаки, используется два семейства вредоносного ПО — LockBit для Windows и Babuk для Linux (ESXi). При этом, в отличие от хактивистских групп, которые не преследуют финансовой выгоды, Head Mare требует выкуп за зашифрованные файлы.

Собственные инструменты. Чтобы получить первоначальный доступ, атакующие делают фишинговые рассылки. Письма содержат вредоносный архив с документами-приманками, которые эксплуатируют относительно свежую уязвимость CVE-2023-38831 в WinRAR. Если жертва откроет вложенный документ, запустится выполнение вредоносного файла, и на ее устройство установится вредоносное ПО — PhantomDL и PhantomCore.

Недавно «Лаборатория Касперского» сообщала о всплеске атак на российские организации с использованием PhantomDL. Зловред мог использоваться для установки и запуска различных вредоносных утилит, в том числе для удаленного администрирования. Это позволило бы не только управлять компьютером жертвы, но и загружать файлы с него на сервер злоумышленников. Собранные данные указывают на то, что атаки связаны с Head Mare.