Эксперты центра исследования киберугроз Solar 4RAYS обнаружили новую атаку азиатской прогосударственной APT-группировки Obstinate Mogwai на российское ведомство. Целью атакующих были конфиденциальные данные, похитить которые они пытались с помощью взломанных учетных записей. Примечательно, что вредоносное ПО при этом не использовалось. А благодаря системе контроля привилегированных пользователей Solar SafeInspect, установленной в атакованной организации, действия хакеров попали на видео. Это значительно сократило время расследования, позволило получить дополнительные сведения об используемых злоумышленниками техниках и принять адекватные защитные меры. Атака произошла в начале 2024 года, сейчас же эксперты могут поделиться её подробностями.
Первые признаки атаки были зафиксированы службой мониторинга центра противодействия кибератакам Solar JSOC. Система обнаружила запросы к веб-ресурсу с индикатора компрометации, который уже находился в базе Solar 4RAYS. Как оказалось, злоумышленники скомпрометировали инфраструктуру подрядчика, а дальше использовали его привилегированные учетные записи, имеющие доступ к сети жертвы. В частности, к терминальным серверам, где были развернуты системы электронного документооборота.
Далее важно было определить, какие именно данные могли получить киберпреступники. В обычной ситуации экспертам пришлось бы изучать специфические артефакты и логи системы документооборота, что потребовало бы дополнительного времени. Однако у заказчика была развернута система класса Privileged Access Management (PAM) — Solar SafeInspect. Данное решение позволяет отслеживать активность привилегированных учетных записей и автоматически ведет запись экрана с их сессиями.
Благодаря этим записям удалось выяснить, что Obstinate Mogwai интересовали конфиденциальные документы, связанные со странами Азиатского региона. Атакующие постранично просматривали открываемые документы и делали паузы на несколько секунд — очевидно, в этот момент они делали скриншоты экрана.
Это далеко не первый кейс, в котором исследователи встречаются с Obstinate Mogwai. С 2023 года с этой группой были связаны 4 расследования, проведенных Solar 4RAYS, но не исключено, что жертв у группировки значительно больше. Основная цель злоумышленников — это кибершпионаж, а жертвы — российские госструктуры, ИТ-компании и их подрядчики.
«Арсенал Obstinate Mogwai достаточно разнообразен. Для проникновения в целевую инфраструктуру они применяют эксплуатацию публичных сервисов, доступ через подрядчика и легитимные аккаунты. Особый интерес у группы вызывают серверы Exchange, которые регулярно становились первоочередными целями для их атак. Они также используют как известные вредоносные инструменты, так и новые образцы ВПО (Donnect и DimanoRAТ). Кроме того, мы обнаружили артефакты, указывающие на связь Obstinate Mogwai с IAmTheKing — другой известной азиатской APT-группировкой. Но главная их черта — это упрямство (отсюда и название). Расследуя инциденты, мы видели, как хакеры вновь и вновь возвращались в атакованную организацию, пока мы не закрыли им все возможности для проникновения. А спустя время, мы обнаруживали следы новых попыток проникнуть в инфраструктуру, которую мы защищаем. Группа очень активна до сегодняшнего дня», — сказал Иван Сюхин, руководитель группы расследования инцидентов Solar 4RAYS ГК «Солар».
Более подробно об этом и других интересных кейсах эксперты Solar 4RAYS расскажут на 10-ом юбилейном SOC Forum, который пройдет в Москве в рамках Недели кибербезопасности с 6 по 8 ноября.
