Kaspersky представила первый большой обзор активности кибергруппы C.A.S

«Лаборатория Касперского» выпустила отчет об активности кибергруппы C.A.S  (Cyber Anarchy Squad), которая с 2022 года атакует организации в России и Беларуси. Основная цель, помимо кражи данных, — нанесение максимального финансового и репутационного ущерба. В числе жертв — организации из различных отраслей, в том числе государственные и коммерческие организации, компании из сферы развлечений и технологий, телекоммуникаций и промышленности. Группа активно использует Telegram в качестве платформы для распространения информации о своих жертвах.

Общие тенденции. В качестве первоначального вектора атаки хактивисты используют не фишинговые письма, как это часто бывает, а уязвимые сервисы. Другой вариант — сотрудничество с другими группами для получения доступа к системам.

Для дальнейшего продвижения по инфраструктуре атакующие используют редкие троянцы удаленного доступа (Remote Access Trojans, RAT) из открытых источников и уязвимости в публично доступных сервисах. Все это дает злоумышленникам возможность удаленно управлять зараженными системами и выполнять различные команды.

Особенности атак. Эксперты «Лаборатории Касперского» прослеживают тенденцию в использовании одинакового арсенала утилит из открытого доступа среди кибергрупп, атакующих Россию и Беларусь. Так, C.A.S использует связку одних и тех же инструментов для сбора учетных данных: XenAllPasswordsPro, BrowserThief и Mimikatz. XenAllPasswordsPro позволяет извлекать пароли из системных хранилищ, BrowserThief используется для компрометации данных браузеров, включая данные автозаполнения и сохраненные учетные записи, Mimikatz извлекает хэши паролей из оперативной памяти Windows.

Один из факторов, который в ряде случаев способствовал успешной реализации атак, — некорректная настройка действующих в организациях средств защиты: в результате атаки злоумышленникам удавалось получить над ними полный контроль. Чтобы реализовать эффективные меры по предупреждению подобных киберугроз, необходимо обеспечивать корректную настройку защитных решений, а также регулярно обновлять системы безопасности и проводить обучающие тренинги для сотрудников, которые имеют к ним доступ. Кроме того, компаниям следует внедрить строгую парольную политику и следить за ее соблюдением.

Кибергруппа C.A.S активно взаимодействует и с другими альянсами, такими как группа DarkStar (Twelve). Совместные действия хактивистов и использование общей инфраструктуры свидетельствуют о формировании более сложной экосистемы атак, где ресурсы, инструменты и доступы делятся между несколькими группами для повышения эффективности и масштабирования операций. Такая стратегия значительно увеличивает их разрушительный потенциал. Для эффективного противодействия таким группам критически важно усиливать киберзащиту, регулярно обновлять средства безопасности, а также внимательно отслеживать активность злоумышленников с помощью сервисов Threat Intelligence.

Подробнее о кибергруппе C.A.S — в статье.