Жертвами APT-группы Hellhounds стали как минимум 20 российских организаций

Жертвами APT-группы Hellhounds стали как минимум 20 российских организаций

Жертвами APT-группы Hellhounds стали как минимум 20 российских организаций

Кибергруппа, которую в Positive Technologies условно назвали Hellhounds, проводит целевые атаки только на территории РФ и уже собрала как минимум 20 жертв. Используемый ею RAT-троян Decoy Dog был недавно обновлен и стал еще более скрытным.

Проведенное в ИБ-компании исследование показало, что Hellhounds больше всего интересуют госсектор, ИТ, а также космическая и энергетическая отрасли. Злоумышленники тратят большие усилия на сокрытие своей активности в сетях жертв; примечательно, что один из задействованных в атаках C2-доменов именовался maxpatrol[.]net ( был замаскирован под ресурс PT, разработчика продуктов линейки MaxPatrol).

Конечная цель данной APT-группы пока неясна, хотя эксперты зафиксировали один факт уничтожения ИТ-инфраструктуры, приостановившего деятельность компании-жертвы. Успеху атак Hellhounds в большой мере способствует отсутствие дополнительных средств мониторинга и антивирусов на Linux-серверах мишеней.

 

При разборе одной из недавних атак Hellhounds аналитики обнаружили новый вариант трояна Decoy Dog — модификации Pupy, инструмента удаленного администрирования и постоэксплуатации, совместимого с Windows и Linux.

Вредонос и его загрузчик скрывались в исполняемом файле /usr/bin/dcrond весом 9 Кбайт, защищенном с помощью модификации упаковщика UPX (на момент расследования ее детектировал лишь один антивирус из коллекции VirusTotal). В отличие от обычного UPX эта вариация распаковывает не исполняемый файл, а написанный на ассемблере шеллкод, использующий системные вызовы Linux.

Загрузчик Decoy Dog при работе обычно маскируется под легитимный сервис (cron, irqbalance) или библиотеку lib7.so. После запуска он сначала ищет признаки запуска под отладчиком, а затем считывает идентификаторы зараженного хоста и на их основе создает ключ для расшифровки конфигурации и основной нагрузки (CLEFIA 128-бит).

Подвергнутый анализу образец Decoy Dog имел ряд существенных отличий от Pupy RAT:

  • код клиента переписан под Python 3.8, количество модулей сократилось;
  • добавлены новые функции, связанные с внедрением кода в ВМ Java;
  • добавлена функция телеметрии (отправляет данные на аккаунт @lahat в соцсеть mindly.social через API);
  • добавлены новые транспорты, изменена криптосистема (ECPV и RC4 вместо RSA и AES);
  • реализована возможность загрузки динамического конфигурационного файла (обновления) с сохранением в зашифрованном виде на диске (AES-CTR и brainpoolP384r1);
  • добавлен новый канал связи (локальное соединение с помощью IP-адреса и порта или файлового сокета);
  • встроен DGA-генератор для организации C2-связи (в качестве резервного способа).

 

«Decoy Dog — интересный и сложный троян, а новая модификация сделала его почти невидимкой, — отметил Денис Кувшинов, руководитель отдела исследования ИБ-угроз экспертного центра PT. — Он хорошо скрывает себя в потоке данных, мимикрируя под легитимный трафик, собирает интересные APT-группировке данные и выгружает их в малоизвестную социальную сеть на основе открытого движка Mastodon».

Детские сим-карты в России хотят ставить на стоп при нулевом балансе

Минцифры предложило новые правила для детских сим-карт: если на счету закончились деньги, оператор должен будет автоматически отключать платные услуги связи. Документ опубликован на портале проектов нормативных правовых актов.

Речь идёт о номерах, оформленных на несовершеннолетних, а также о сим-картах, которые родители передали детям.

Ограничение касается авансовой системы расчётов, когда сначала пополняешь баланс, а потом пользуешься связью. При нуле на счету должны приостанавливаться звонки, СМС, мобильный интернет и дополнительные платные услуги.

В Минцифры поясняют: экстренная связь никуда не денется. Вызов 112 и других служб останется доступен круглосуточно и бесплатно. Входящие и другие бесплатные услуги также сохранятся. Главная идея — не дать ребёнку уйти в минус или случайно накупить услуг без ведома родителей.

Но автоблокировка — только часть пакета. Для детских номеров также хотят полностью запретить входящие звонки из-за границы, отключить роуминг за пределами России, убрать массовые рассылки, включая рекламу и часть банковских сообщений, и бесплатно фильтровать контент, который может навредить ребёнку.

Чтобы ограничения заработали, родителю нужно будет сообщить оператору, что номер передан несовершеннолетнему, и указать возраст ребёнка. Сделать это можно в салоне связи, через личный кабинет или электронным документом с усиленной квалифицированной подписью. Если договор заключил сам несовершеннолетний, правила тоже будут применяться.

Проект затрагивает не только детские сим-карты. В правила хотят добавить запрет на быстрый отказ от номера: абонент-физлицо не сможет расторгнуть договор раньше чем через 90 дней после получения сим-карты. Это должно ударить по серым симкам, которые мошенники используют для обзвона и быстро выбрасывают.

Новые нормы могут вступить в силу 1 марта 2027 года и действовать до конца 2030-го. Затраты операторов на выполнение требований оцениваются от 300 млн до 3 млрд рублей. Контролировать всё это будет Роскомнадзор.

RSS: Новости на портале Anti-Malware.ru