Начиная с марта 2024, специалисты F.A.C.C.T Threat Intelligence детектируют ранее неизвестный загрузчик PhantomDL (или PhantomGoDownloader). Анализ обнаруженных образцов позволил установить ряд связей с группой PhantomCore, на основе которых эксперты с высокой долей уверенности атрибутировали PhantomDL к этой же группировке. Подробности — в новом блоге компании.

Напомним, что PhantomCore – группа кибершпионов, действующая с начала 2024 года против российских организаций, была впервые раскрыта и описана в отчете исследователями компании F.A.C.C.T. Первоначальный вектор распространения не был установлен, однако в упомянутом выше исследовании отмечалось, что группа рассылала фишинговые письма с запароленными вредоносными архивами во вложении и паролем в тексте письма. Эксперты полагают, что для распространения PhantomDL также использовались фишинговые рассылки с вложенным архивом.

F.A.C.C.T., разработчик технологий для борьбы с киберпреступлениями, сообщает об активизации новой преступной группы вымогателей MorLock. Злоумышленники атакуют российские компании как минимум с начала 2024 года и в апреле-мае существенно усилили интенсивность своих атак. Как и группа Muliaka, MorLock используют для распространения программы-вымогателя в сети жертвы популярный корпоративный антивирус.  

Специалисты компании F.A.C.C.T. обнаружили новые партнерские программы, нацеленные на пожилых людей — в том числе ветеранов. На мошеннические ресурсы, замаскированные под портал Роскачества, за последнюю неделю заходили около 1500 человек.

Скамеры обещают жертве единовременные выплаты от 50 000 до 300 000 рублей, но чтобы их получить, нужно уплатить «комиссию», «конвертацию» или различные «юридические услуги» в размере от 378 до 1112 рублей. В итоге — ни выплат, ни денег на счете.

F.A.C.C.T., разработчик технологий для борьбы с киберпреступлениями, обнаружил новую преступную группу вымогателей Muliaka. Злоумышленники атакуют российские компании как минимум с декабря 2023 года. В одной из атак для распространения программы-вымогателя в сети жертвы и для ее запуска на хостах Windows атакующие воспользовались популярным корпоративным антивирусом.

Оборотни активны в полнолуния, а вымогатели из группировки Werewolves проявляют себя значительно реже.

Аналитики Центра Кибербезопасности F.A.C.C.T. обнаружили новую волну вредоносных рассылок от группы Werewolves после длительного перерыва. Злоумышленники атаковали российские производственные, энергетические и геологоразведочные компании. В массовой атаке они использовали тему весеннего призыва, а также различные претензии, которые предлагалось решить в досудебном порядке.

Ранее мы уже писали об этих киберпреступниках.

В конце марта система защиты от сложных и неизвестных киберугроз F.A.C.C.T. Managed XDR обнаружила фишинговые письма, которые рассылались от имени транспортных компаний и липецкого ресторана с темами «Претензионное», «Запрос».

В свежих рассылках члены группировки под видом судебных претензий, требований и актов отправляли вредоносные .doc и .xls-файлы, являющимися загрузчиками Cobalt Strike Beacon – компонента инструмента Cobalt Strike.

К письмам были прикреплены файлы под названиями: «рекламация.doc», «акт сверки.xls» и «анкета.xls».

В Telegram замечена новая волна угонов аккаунтов. Цели атаки — российские медиаменеджеры, маркетологи, журналисты, пиарщики.

F.A.C.C.T., российский разработчик технологий для борьбы с киберпреступлениями, публикует исследование о новой группе кибершпионов PhantomCore. Группа, с начала 2024 года атакующая российские компании, получила свое название из-за одноименного трояна удаленного доступа, который использует в своих кампаниях.

Специалисты департамента Threat Intelligence F.A.C.C.T. обнаружили новую группу кибершпионов, с января 2024 года активно атакующую российские компании. Группа была названа PhantomCore, по причине того, что злоумышленники используют уникальный, ранее не описанный, троян удаленного доступа — PhantomRAT.

В начале сентября 2023 года система киберразведки F.A.C.C.T. Threat Intelligence обнаружила на сервере, который использовался неизвестными для атак на российские компании, открытую директорию с логами SQLMap, Metasploit, ProxyShell-Scanner и других доступных утилит для тестирования на проникновение. 

Поскольку подобные инструменты  не требуют глубоких знаний в области операционных систем, программирования или сетевых технологий, их нередко используют в атаках не очень опытные и не слишком квалифицированные злоумышленники. Каково же было удивление, когда в ходе дальнейшего анализа атак, техник, инструментов, сетевой и файловой инфраструктуры, была установлена связь "независимых" атакующих с крупной организованной преступной группой, известной как Shadow (Twelve/Comet/DARKSTAR). 

Сегодня команда компании F.A.C.C.T. представила новый ежегодный аналитический отчет «Киберпреступность в России и СНГ. Анализ, тренды, прогнозы. 2023–2024 гг.». Наше новое исследование станет незаменимым практическим руководством по стратегическому и тактическому планированию проактивной киберзащиты для руководителей групп кибербезопасности, аналитиков SOC, CERT, специалистов по реагированию на инциденты, Threat Intelligence и Threat Hunting, а также компаниям из различных секторов. 

Специально для читателей Хабра, собрали основные ключевые выводы из отчета.

Проукраинская группа Sticky Werewolf, специализирующаяся на кибершпионаже, похоже, отправилась на гастроли: после недавней атаки на компании в Беларуси, злоумышленники нацелились и на организации Польши. В новой атаке Sticky Werewolf, как установили эксперты департамента Threat Intelligence компании F.A.C.C.T., использовался модифицированный вариант трояна удаленного доступа Darktrack RAT.

Кибершпионская APT-группа Sticky Werewolf, вероятно, попыталась атаковать белорусские компании, рассылая под видом программы для очистки и оптимизации компьютера CCleaner6.20 троян удаленного доступа Ozone RAT. Напомним, что в конце января в России перестали работать антивирус Avast и программа очистки CCleaner — по этой причине старые чешские программы стали опять на слуху, чем решили, видимо, воспользоваться атакующие.

Эксперты F.A.C.C.T. Threat Intelligence проанализировали новые атаки русскоговорящей хак-группы в Юго-Восточной Азии и Австралии

В октябре 2023 года команда F.A.C.C.T. Threat Intelligence обнаружила файлы, которые использовала шпионская группа RedCurl для атак на потенциальные цели в Австралии, Сингапуре и Гонконге. Речь о компаниях, работающих в сфере строительства, логистики, авиаперевозок, горнодобывающей промышленности.

Несколько дней назад крупная российская компания была атакована с использованием программ-вымогателей, часть ее ИТ-инфраструктуры оказалась зашифрованной. Ущерб, нанесенный компании в результате атаки, мог быть гораздо больше. За прошедший год многие компании усилили меры безопасности, благодаря чему важная часть инфраструктуры осталась нетронутой.

"У пользователей, не установивших сертификаты безопасности Минцифры, с 30 января возникнут проблемы с доступом на сайт Госуслуг и в онлайн-банкинг". Испугались? На то и расчет: 25 января система защиты от сложных и неизвестных киберугроз F.A.C.C.T. Managed XDR перехватила фишинговые письма, отправленные якобы от Минцифры.

В конце 2023 года специалисты F.A.C.C.T. Threat Intelligence зафиксировали несколько фишинговых рассылок от преступной группы, которая использует троян удаленного DarkCrystal RAT для атак на российские компании. Среди их целей были  маркетплейсы, торговые сети, банки, IT-компании, телекоммуникационная и строительная компании. 

В случае успеха злоумышленники могли бы получить доступ к внутренним финансовым и юридическим документам компаний, клиентским базам данных, учетным записям от почтовых сервисов и мессенджеров. Однако система защиты от сложных и неизвестных киберугроз F.A.С.С.T. Managed XDR перехватила и заблокировала все фишинговые письма, отправленные на электронные адреса наших клиентов.

Эксперты проанализировали содержимое рассылок и обнаружили новый троян удаленного доступа  —  RADX. Подробнее о нем — в новом блоге рассказали Антон Баранов, аналитик Threat Intelligence компании F.A.C.C.T.  и Дмитрий Купин, руководитель отдела динамического анализа вредоносного кода компании F.A.C.C.T.

Кибершпионская APT-группа Sticky Werewolf попыталась испортить праздники и атаковала российские организации в новогодние каникулы. Так, 2 и 3 января они направили около 250 писем на электронную почту телекоммуникационной компании.

Система защиты от сложных и неизвестных киберугроз F.A.C.C.T. Managed XDR перехватила и заблокировала 22 декабря фишинговое письмо, которое было отправлено в фармацевтическую компанию якобы от имени МЧС. В сообщении говорится о вступлении в силу нового приказа ведомства с просьбой "проинструктировать (под роспись) сотрудников" о новом порядке действий по сигналу гражданской обороны.

Компания F.A.C.C.T. зафиксировала новые атаки шпионской группы Cloud Atlas на российское агропромышленное предприятие и исследовательскую госкомпанию. Обе рассылки были перехвачены системой защиты от сложных и неизвестных киберугроз F.A.C.C.T. Managed XDR. 

Cloud Atlas — прогосударственная APT-группа, специализирующаяся на кибершпионаже и краже конфиденциальной информации. По данным исследователей, активна как минимум с 2014 года. Чаще других целями Cloud Atlas становились промышленные предприятия и  госкомпании в России, Беларуси, Азербайджане, Турции и Словении.

Российская команда компания F.A.C.C.T. при поддержке студии Red Barn выпустила остросюжетный подкаст «Кибербез по фактам» о борьбе с киберпреступностью и информационной безопасности. 

Ведущий подкаста, криминальный репортер Павел Седаков, вместе с приглашенными экспертами рассказывает о современной киберпреступности, нашумевших расследованиях и делится рекомендациями, как не стать жертвой в цифровом мире.

В первом эпизоде подкаста, который авторы назвали "Щелкнули наручники", речь пойдет о кульминации в работе кибердетектива — задержании преступника. Гостем этого выпуска стала Дарья Щербатюк (Pandora), ведущий специалист Департамента расследований высокотехнологичных преступлений, компания F.A.C.C.T. 

Дарья расскажет, почему задержания проводят рано утром, как происходит штурм,  зачем криминалисту на обыске перчатки, что может натворить электромагнитная пушка, и чем кибердетективы отличаются от полицейских. Подписывайтесь на подкаст, задавайте вопросы и оставайтесь в безопасности! 

Послушать подкаст можно на всех популярных платформах:  Яндекс Музыке, Mave, Google Подкастах, YouTube Podcasts, Soundcloud, Castbox и других платформах. 

Полезные ссылки: 
Telegram-канал Дарьи: https://t.me/pandora_intelligenceTelegram-канал F.A.C.C.T https://t.me/F_A_C_C_T
Блог компании F.A.C.C.T на Дзене https://dzen.ru/facct_blog
Страница Департманта расследования высокотехнологичных преступлений https://www.facct.ru/services/cyber-investigation/

Эксперты Threat Intelligence компании F.A.C.C.T. обнаружили новые атаки кибершпионской группы Sticky Werewolf. Одно из писем, перехваченных системой защиты от сложных и неизвестных киберугроз F.A.C.C.T. Managed XDR, было отправлено от имени Минстроя России. В сообщении говорится о якобы изменениях в приказе Министра обороны №80 от 2020 года об оснащении объектов техническими средствами охраны. 

Судя по заголовкам письма, еще одной вероятной целью атакующих должен был стать российский научно-исследовательский институт, занимающийся проблемами микробиологии, в том числе разработкой вакцин.