Группа «Gold Melody» продаёт начальный доступ киберпреступникам всех мастей

Финансово-мотивированная группировка Gold Melody недавно была идентифицирована как брокер начального доступа (IAB), который продаёт сторонним киберпреступникам доступ к скомпрометированным организациям для проведения последующих атак.

Псевдоним «Gold Melody» присвоили группе исследователи Secureworks, но также она известна под именами «Prophet Spider» (CrowdStrike) и «UNC961» (Mandiant).

Согласно информации Secureworks, хакеры Gold Melody активны с 2017 года и специализируются на взломе организаций, эксплуатируя уязвимости в неисправленных серверах, доступных из Интернета.

Атаки этой группы носят в первую очередь финансовую мотивацию и направлены на получение прибыли, а не на действия в интересах государственных структур.

Gold Melody ранее была связана с атаками на серверы JBoss Messaging, Citrix ADC, Oracle WebLogic, Apache Log4j, GitLab и другими.

Середина 2020 года ознаменовала расширение зоны действий группировки. Целями атак стали организации в сферах розничной торговли, здравоохранения, энергетики, финансовых операций и высоких технологий. География стала включать Северную Америку, Северную Европу и Западную Азию.

Аналитики из Mandiant отмечают, что действия UNC961 часто предшествуют развёртыванию таких программ-вымогателей, как Maze и Egregor. Обладая весьма разнообразным арсеналом инструментов, Gold Melody также часто использует собственные трояны и инструменты для удалённого доступа, такие как GOTROJ и BARNWORK.

Между июлем 2020 и июлем 2022 года Secureworks специалисты связали Gold Melody с пятью разными вторжениями, в ходе которых были использованы совершенно разные уязвимости. После успешного проникновения в систему обычно следует развёртывание веб-оболочек для удержания позиций, а затем создание директорий в скомпрометированном хосте для поэтапного размещения используемых в последующих атаках инструментов.

Разведывательная фаза закладывает прочную основу для добычи учётных данных, горизонтального перемещения и выведения данных. После её осуществления группировка может продать доступ другой группировке злоумышленников, имеющих свои планы на выбранную компанию.

Примечательно, что все пять атак Gold Melody с 2020 по 2022, которые Secureworks связала с группировкой, по итогу не увенчались успехом. Несмотря на это, исследователи подчёркивают, что действия и методы Gold Melody являются напоминанием важности своевременного обновления программного обеспечения, используемого в организациях.

Заплатки для большинства уязвимостей, эксплуатируемых злоумышленниками, обычно выходят весьма оперативно, в то время как компании сами тянут с установкой исправлений на свои системы. А предприимчивые хакеры просто не могут удержаться, видя столь лакомые и уязвимые цели на своём киберрадаре.