Предлагаем ознакомиться с Symantec Threat Landscape Bulletin, чтобы узнать подробнее о новостях из мира кибербезопасности за 05 — 06 декабря 2024.
Правоохранительные органы пресекли деятельность российских сетей по отмыванию денег, используемых для распространения программ-вымогателей
В среду (4 декабря) Национальное агентство Великобритании по борьбе с преступностью (NCA) объявило о пресечении деятельности двух российских сетей по отмыванию денег, которые сотрудничали с преступниками по всему миру, включая группы, занимающиеся распространением программ-вымогателей, наркоторговцев и уклоняющихся от санкций представителей российской элиты.
Международная правоохранительная операция, получившая название «Дестабилизация», привела к аресту 84 русскоязычных подозреваемых, связанных с преступными организациями Smart (возглавляемой украинцем Георгием Росси) и TGR (контролируемой россиянкой Екатериной Ждановой).
«В 2021 году Жданова отмыла более 2,3 млн долларов США, предположительно выплаченных в криптовалюте жертвами группе вымогателей Ryuk», – говорится в сообщении NCA. «По оценке NCA, эта группа, члены которой были подвергнуты санкциям со стороны Великобритании в 2023 году, была ответственна за вымогательство по меньшей мере 27 млн фунтов стерлингов [29 млн долларов США] у 149 британских жертв, включая больницы, школы, предприятия и местные власти. Однако их истинное влияние, скорее всего, гораздо выше».
В рамках проведения операции «Дестабилизация» правоохранительные органы Великобритании сотрудничали со многими международными партнерами, включая правоохранительные органы США, Франции, Ирландии и Объединенных Арабских Эмиратов.
«Впервые нам удалось установить связь между российской элитой, киберпреступниками, владеющими криптовалютой, и наркобандами на улицах Великобритании», – сказал Роб Джонс, генеральный директор NCA по операциям. «Нить, связывающая их воедино, – объединенные силы Smart и TGR – до сих пор оставалась невидимой».
Группа APT Waterbug, связанная с Россией, попалась на использовании пакистанской инфраструктуры APT
Связанная с Россией группа продвинутых постоянных угроз (APT), известная как Waterbug (она же Turla, Secret Blizzard), была уличена в использовании инфраструктуры, связанной с базирующейся в Пакистане APT-группой Datebug (она же Transparent Tribe, Storm-0156, APT36).
Согласно исследованиям Центра разведки угроз Microsoft и лаборатории Black Lotus Labs компании Lumen, Waterbug получил первоначальный доступ к одному из командно-контрольных (C&C) серверов Datebug в декабре 2022 года, а к середине 2023 года распространил контроль на многочисленные C&C-узлы, связанные с пакистанским исполнителем.
С ноября 2022 года Waterbug эффективно использовала бэкдоры Datebug для развертывания своих собственных бэкдоров (TwoDash и Statuezy) в правительственных сетях Афганистана, включая Министерство иностранных дел и Главное управление разведки. Waterbug также нацелилась на Индию, развернув инструменты на серверах, на которых хранились данные, изъятые из индийских военных сетей.
К апрелю 2023 года Waterbug использовал свои бэкдоры для проникновения на рабочие станции операторов Datebug, потенциально получая оперативные данные, включая сведения об инструментах APT, сетевые учетные данные и эксфильтрованные данные. К середине 2024 года Waterbug начала использовать другие семейства вредоносных программ (Wasicot и CrimsonRAT), которые они позаимствовали из пакистанских вторжений.
Это не первый случай, когда Waterbug использует инфраструктуру других субъектов. В 2019 году Waterbug использовал инфраструктуру и вредоносное ПО иранской государственной группы угроз Crambus (она же OilRig) для проведения атак на различные страны.
Защита
Последние обновления системы защиты можно найти в бюллетене Symantec Protection Bulletin.
Связанная с Россией группа Shuckworm начала использовать туннели Cloudflare
Связанная с Россией группа Shuckworm, также известная как Blue Alpha, Gamaredon, Trident Ursa и Primitive Bear, недавно изменила свои тактики, техники и процедуры (TTP), начав использовать туннели Cloudflare для скрытия реального местоположения своей инфраструктуры и повышения устойчивости к обнаружению. Эта методика позволяет злоумышленникам маскировать свои серверы управления и контроля (C2), продлевая их жизненный цикл и усложняя их выявление.
В последних атаках Shuckworm применяет фишинговые электронные письма с HTML-вложениями, содержащими JavaScript-код. Этот код загружает ZIP-архив с LNK-файлом, открытие которого устанавливает соединение с C2-серверами злоумышленников для загрузки вредоносного ПО GammaDrop. Расположение этих серверов скрывается с помощью туннелей Cloudflare, что затрудняет их обнаружение и блокировку.
Недавние исследования показывают рост злоупотреблений сервисами Cloudflare со стороны киберпреступников для проведения атак. Бесплатные сервисы Cloudflare становятся все более привлекательными для злоумышленников, стремящихся скрыть свою инфраструктуру и избежать обнаружения.
Читайте Symantec Protection Bulletin, чтобы узнать больше о том, как продукты Symantec защищают вас от угроз.
