26/02/23
Деятельность группировки, отслеживаемой под кодовым названием Hydrochasma, продолжается с октября 2022 года. «Судоходные компании и медицинские лаборатории в Азии подвергаются атакам в рамках кампании по сбору разведданных, которая опирается исключительно на общедоступные инструменты для проведения LotL-атак», — сообщают исследователи компании Symantec в своём отчёте от 22 февраля.
Пока нет никаких доказательств, позволяющих определить происхождение группировки или связь с другими известными киберпреступниками, однако Symantec заявила, что группа может быть заинтересована в атаках на отраслевые вертикали медицинской отрасли, связанные с COVID-19.
Выдающимися аспектами кампании является то, что злоумышленники не крадут какие-либо данные и не распространяют вредоносные программы, передает Securitylab. Вместо этого они используют инструменты с открытым исходным кодом для сбора разведданных.
Как сообщается, началом цепочки заражения является фишинговое электронное письмо, содержащее документ-приманку. Документ при запуске предоставляет первичный доступ к устройству. После получения такого доступа злоумышленники развертывают множество готовых инструментов, таких как Fast Reverse Proxy (FRP), Meterpreter, Cobalt Strike Beacon, Fscan, BrowserGhost и прокси-сервер Gost.
«Инструменты, развернутые Hydrochasma, указывают на желание добиться постоянного и скрытого доступа к машинам-жертвам, а также на стремление повысить привилегии и распространиться по сетям жертв», — заявили исследователи.
Hydrochasma — не единственная киберпреступная группа за последние месяцы, которая полностью отказалась от специализированного вредоносного ПО. К числу таких групп можно приписать, например, OPERA1ER (также известную как Bluebottle), которая широко использует LotL-инструменты двойного назначения и стандартные вредоносные программы для вторжений, направленных на франкоязычные страны Африки.
