VietNetwork.Vn

Một nhóm hacker có tên Head Mare đã bị cáo buộc thực hiện các cuộc tấn công mạng nhắm vào các tổ chức có trụ sở tại Nga và Belarus.

"Head Mare sử dụng những phương pháp hiện đại hơn để có được quyền truy cập ban đầu", Kaspersky cho biết trong một bản phân tích về chiến thuật và công cụ của nhóm vào thứ Hai.


"Ví dụ, những kẻ tấn công đã lợi dụng lỗ hổng CVE-2023-38831 tương đối mới trong WinRAR, cho phép kẻ tấn công thực thi mã tùy ý trên hệ thống thông qua một kho lưu trữ được chuẩn bị đặc biệt. Cách tiếp cận này cho phép nhóm phân phối và ngụy trang phần mềm độc hại hiệu quả hơn."

Head Mare, hoạt động từ năm 2023, là một trong những nhóm hacktivist tấn công các tổ chức của Nga trong bối cảnh xung đột Nga-Ukraine bắt đầu một năm trước đó.

Nó cũng duy trì sự hiện diện trên X, nơi nó đã rò rỉ thông tin nhạy cảm và tài liệu nội bộ từ các nạn nhân. Mục tiêu tấn công của nhóm bao gồm các chính phủ, giao thông vận tải, năng lượng, sản xuất và các lĩnh vực môi trường.

Không giống như những kẻ hacktivist khác có thể hoạt động với mục đích gây ra "thiệt hại tối đa" cho các công ty ở hai quốc gia này, Head Mare còn mã hóa thiết bị của nạn nhân bằng LockBit cho Windows và Babuk cho Linux (ESXi) và yêu cầu tiền chuộc để giải mã dữ liệu.

Ngoài ra, một phần trong bộ công cụ của nó còn có PhantomDL và PhantomCore, trong đó PhantomDL là một backdoor dựa trên Go có khả năng phân phối các tải trọng bổ sung và tải các tệp quan trọng lên máy chủ chỉ huy và kiểm soát (C2).

PhantomCore (hay còn gọi là PhantomRAT), tiền thân của PhantomDL, là một trojan truy cập từ xa có các tính năng tương tự, cho phép tải xuống các tệp từ máy chủ C2, tải các tệp từ máy chủ bị xâm phạm lên máy chủ C2, cũng như thực thi các lệnh trong trình thông dịch dòng lệnh cmd.exe.


Kaspersky cho biết: "Những kẻ tấn công tạo ra các tác vụ theo lịch trình và giá trị sổ đăng ký có tên MicrosoftUpdateCore và MicrosoftUpdateCoree để ngụy trang hoạt động của chúng thành các tác vụ liên quan đến phần mềm Microsoft".

"Chúng tôi cũng phát hiện ra rằng một số mẫu LockBit mà nhóm sử dụng có tên sau: OneDrive.exe [và] VLC.exe. Các mẫu này nằm trong thư mục C:ProgramData, ngụy trang thành các ứng dụng OneDrive và VLC hợp pháp."

Cả hai hiện vật này đều được phát hiện phân phối thông qua các chiến dịch lừa đảo dưới dạng tài liệu kinh doanh có phần mở rộng kép (ví dụ: решение №201-5_10вэ_001-24 к пив экран-сои-2.pdf.exe hoặc тз на разработку.pdf.exe).

Một thành phần quan trọng khác trong kho vũ khí tấn công của nó là Sliver, một khuôn khổ C2 mã nguồn mở và tập hợp nhiều công cụ có sẵn công khai như rsockstun, ngrok và Mimikatz giúp phát hiện, di chuyển ngang và thu thập thông tin xác thực.

Các cuộc xâm nhập lên đến đỉnh điểm khi LockBit hoặc Babuk được triển khai tùy thuộc vào môi trường mục tiêu, sau đó là gửi yêu cầu đòi tiền chuộc để đổi lấy công cụ giải mã nhằm mở khóa các tập tin.

Nhà cung cấp an ninh mạng của Nga cho biết: "Các chiến thuật, phương pháp, quy trình và công cụ mà nhóm Head Mare sử dụng nhìn chung tương tự như các nhóm khác có liên quan đến các nhóm tấn công nhắm vào các tổ chức ở Nga và Belarus trong bối cảnh xung đột Nga-Ukraine".

"Tuy nhiên, nhóm này còn khác biệt ở chỗ sử dụng phần mềm độc hại tùy chỉnh như PhantomDL và PhantomCore, cũng như khai thác lỗ hổng tương đối mới là CVE-2023-38831 để xâm nhập vào cơ sở hạ tầng của nạn nhân trong các chiến dịch lừa đảo."