Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Хакеры 3AM показывают тесные связи с синдикатом Conti и группировкой Royal

23/01/24

hack68-Jan-23-2024-09-04-01-1113-AM

В последние месяцы внимание специалистов компании Intrinsec привлекла группа 3AM (ThreeAM), чьей уникальной чертой является их новаторская тактика шантажа. Группировка распространяет информацию об утечке данных через социальные сети жертв, используя ботов для отправки сообщений официальным аккаунтам на платформе X, указывая на утечки данных.

Прямая связь с Conti и Royal ransomware

Первые сообщения о деятельности 3AM появились в сентябре, напоминает Securitylab, когда команда Symantec обнаружила переход злоумышленников к использованию программного обеспечения ThreeAM после неудачной попытки развертывания вредоносного ПО LockBit. Дальнейшие исследования выявили, что ThreeAM, скорее всего, связана с группой Royal, которая переименовалась в Blacksuit и состоит из бывших членов группы Team 2 в рамках синдиката Conti.

Технические доказательства и анализ инфраструктуры

Специалисты Intrinsec обнаружили значительное пересечение в каналах коммуникации, инфраструктуре и TTPs (Tactics, Techniques, and Procedures) между 3AM и Conti. Отслеживая IP-адрес, указанный Symantec как индикатор компрометации (185.202.0[.]111), исследователи нашли PowerShell-скрипт для запуска Cobalt Strike, который был обнаружен еще в 2020 году. Кроме того, была замечена активность, похожая на деятельность программы-вымогателя Zeon, а также использование вредоносного ПО IcedID, ранее применяемой группами XingLocker и Conti для доставки вредоносного ПО.

Исследователи также обнаружили, что HTML-содержимое сайта утечки данных 3AM в сети Tor было проиндексировано платформой Shodan для серверов, подключенных к интернету, что означает, что оно было доступно через обычный веб. Cайт утечки данных 3AM в сети Tor показывает список из 19 жертв, которые не заплатили выкуп и чьи данные были опубликованы. Удивительно, что сайт 3AM очень напоминает сайт утечек группировки LockBit.

Связь с литовской компанией Cherry Servers

Исследователи также обнаружили связь между 3AM и серверами литовской компании Cherry Servers. Отличительной особенностью было использование одинаковых портов, протоколов и версий продуктов Apache на 27 серверах компании.

Cherry Servers — это хостинговая компания, которая имеет относительно низкий риск мошенничества, но исследователи обнаружили, что клиенты компании размещали на серверах инструмент Cobalt Strike. Помимо этого, домены на анализируемых IP-адресах имели TLS-сертификаты от Google Trust Services LLC и были перенесены в Cloudflare.

Инновации в социальных сетях

Команда Intrinsec обнаружила, что 3AM, вероятно, тестировала новую тактику шантажа с использованием автоматизированных ответов в X*, чтобы распространять новости об успешных атаках. Такая тактика была применена только в одном случае с жертвой 3AM, что говорит о ее ограниченной эффективности.

Несмотря на то, что группировка ThreeAM кажется менее сложной подгруппой Royal, её нельзя недооценивать из-за потенциала проведения большого количества атак. Это подчеркивает постоянно меняющуюся природу киберпреступности и сложность отслеживания участников конкретных групп или связывания их с операциями.

* Социальная сеть запрещена на территории Российской Федерации.

Темы:соцсетиУгрозыSymantecContiRoyal
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...