Об этом предупредили специалисты подразделения Unit 42 компании Palo Alto Networks, которые отслеживают эту активность под обозначением CL-CRI-1014. Как пояснили в компании, аббревиатура расшифровывается как «кластер с криминальной мотивацией», что указывает на коммерческий интерес злоумышленников.
Главная цель атакующих — получить первичный доступ к инфраструктуре организаций и затем перепродать его другим преступным группировкам через подпольные форумы. Таким образом, группа действует как типичный брокер начального доступа, что особенно опасно для организаций с высокой концентрацией финансовых и персональных данных.
Для исполнения своих атак хакеры используют проверенный арсенал, который трудно отличить от легального программного обеспечения. В их распоряжении — инструменты вроде PoshC2 для управления заражёнными системами, Chisel для туннелирования трафика и обхода сетевых ограничений, а также Classroom Spy для удалённого контроля за компьютерами жертв.
Отдельное внимание специалисты уделили тому, как злоумышленники скрывают своё присутствие. Они подделывают цифровые подписи файлов, копируя их с известных приложений. Это позволяет замаскировать вредоносные программы и затруднить их обнаружение. Кроме того, для маскировки используются иконки популярных продуктов, таких как Microsoft Teams, Palo Alto Cortex и Broadcom VMware Tools, что позволяет вредоносам визуально не отличаться от привычного софта.
После проникновения в сеть атакующие закрепляют своё присутствие с помощью трёх различных механизмов. Они создают системный сервис, размещают ярлык вредоносного инструмента в автозагрузке Windows и добавляют задание в планировщик под именем «Palo Alto Cortex Services». Такой подход обеспечивает устойчивость атаки даже после перезагрузки компьютеров.
В ряде случаев зафиксированы кражи учётных данных пользователей. С их помощью хакеры развёртывают прокси-серверы, которые позволяют скрывать связь заражённых машин с управляющим сервером. При этом некоторые версии PoshC2, по данным специалистов, были специально модифицированы для конкретных атакованных сетей.
Стоит отметить, что атаки с применением PoshC2 уже были зафиксированы в финансовом секторе Африки. В сентябре 2022 года компания Check Point подробно описала кампанию DangerousSavanna, в рамках которой через целевые фишинговые рассылки распространялись Metasploit, PoshC2, DWservice и AsyncRAT. Тогда жертвами стали банки и страховые компании в Кот-д’Ивуаре, Марокко, Камеруне, Сенегале и Того.