Новости Hydrochasma: новая вредоносная кампания, нацеленная на судоходные компании и медицинские лаборатории в Азии

[NewsMaker]

Хакеры действуют максимально скрытно, не оставляя следов на скомпрометированных устройствах.​

---

---

Деятельность группировки, отслеживаемой под кодовым названием Hydrochasma, продолжается с октября 2022 года. «Судоходные компании и медицинские лаборатории в Азии подвергаются атакам в рамках кампании по сбору разведданных, которая опирается исключительно на общедоступные инструменты для проведения LotL-атак», — сообщают исследователи компании Для просмотра ссылки Войди или Зарегистрируйся в Для просмотра ссылки Войди или Зарегистрируйся от 22 февраля.

Пока нет никаких доказательств, позволяющих определить происхождение группировки или связь с другими известными киберпреступниками, однако Symantec заявила, что группа может быть заинтересована в атаках на отраслевые вертикали медицинской отрасли, связанные с COVID-19.

Выдающимися аспектами кампании является то, что злоумышленники не крадут какие-либо данные и не распространяют вредоносные программы. Вместо этого они используют инструменты с открытым исходным кодом для сбора разведданных.

Как сообщается, началом цепочки заражения является фишинговое электронное письмо, содержащее документ-приманку. Документ при запуске предоставляет первичный доступ к устройству. После получения такого доступа злоумышленники развертывают множество готовых инструментов, таких как Fast Reverse Proxy (FRP), Meterpreter, Cobalt Strike Beacon, Fscan, BrowserGhost и прокси-сервер Gost.

«Инструменты, развернутые Hydrochasma, указывают на желание добиться постоянного и скрытого доступа к машинам-жертвам, а также на стремление повысить привилегии и распространиться по сетям жертв», — заявили исследователи.

Различные хакерские группы всё чаще используют в своих атаках Fast Reverse Proxy. В конце сентября 2021 года, например, Для просмотра ссылки Войди или Зарегистрируйся Для просмотра ссылки Войди или Зарегистрируйся об атаках, предпринятых группой ChamelGang, которые включали использование этого инструмента для управления скомпрометированными хостами.

Затем, в сентябре 2022 года, Центр экстренного реагирования AhnLab Security ( Для просмотра ссылки Войди или Зарегистрируйся ) Для просмотра ссылки Войди или Зарегистрируйся атаки, нацеленные на южнокорейские компании, которые использовали FRP для установления удаленного доступа с уже скомпрометированных серверов, чтобы скрыть происхождение злоумышленника.

Hydrochasma — не единственная киберпреступная группа за последние месяцы, которая полностью отказалась от специализированного вредоносного ПО. К числу таких групп можно приписать, например, OPERA1ER (также известную как Bluebottle), которая широко использует LotL-инструменты двойного назначения и стандартные вредоносные программы для вторжений, направленных на франкоязычные страны Африки.