В сети Comet и Twelve: F.A.C.C.T. раскрывает инфраструктуру киберсиндиката

Компания F.A.C.C.T. обнаружила новые кибератаки преступного синдиката Comet (известного также как Shadow / Twelve) и их соучастников, направленные против российских компаний. Эксперты полагают, что имеют дело с группой «двойного назначения» и для эффективного противодействия киберпреступникам публикуют списки инструментов и адресов, который злоумышленники использовали в своих атаках, начиная с начала 2023 года.

Comet, ранее известная как Shadow, - это вымогательская группа, которая сначала крадет конфиденциальные данные, а затем шифрует их и требует выкуп за расшифровку. В 2023 году максимальный запрошенный выкуп составил $3,5 млн.

Группировка Twelve является политически-мотивированной группой, которая в результате своих атак сначала крадет конфиденциальные данные из инфраструктуры жертвы, а после разрушает ее IT-инфраструктуру путем необратимого шифрования и удаления данных. Далее злоумышленники публикуют украденную информацию в различных публичных источниках, а также используют ее для проведения каскадных атак на контрагентов жертвы.

После публикации отчета F.A.C.C.T., в котором было выявлено , что Shadow и Twelve используют одни и те же инструменты и инфраструктуру, Shadow провела ребрендинг и стала Comet.

Вместе с тем, среди соучастников Comet / Twelve выявлены участники группы Cobalt, которую в свое время Европол обвинял в кражах около 1 млрд евро у 100 банков по всему миру. Отчет Positive Technologies раскрыл инструменты, которые не только фиксировались специалистами Лаборатории цифровой криминалистики F.A.C.C.T. в исследованиях, но и по частным признакам позволили связать политически-мотивированную Twelve с финансово-мотивированной Comet (ранее Shadow).

В атаках Comet / Twelve используются вредоносные программы, включая DarkGate, FaceFish, SystemBC, Cobint / Cobalt Strike. А на завершающем этапе для шифрования данных используют программы-вымогатели семейств LockBit 3 (Black) и Babuk, созданные на основе утекших в публичный доступ данных.

Наряду с общими инструментами, а также идентичными тактиками, техниками, процедурами группировка и их сообщники при проведении атак используют общую сетевую инфраструктуру.

Ниже представлен список адресов, которые использовались злоумышленниками в атаках, начиная с февраля 2023 года:

• 192.210.160[.]165
• 45.89.65[.]199
• 5.181.234[.]58
• 5.252.177[.]181
• 62.113.116[.]211
• 78.46.109[.]143
• 88.218.61 [,]114
• 94.103.88[.] 115
• 94.103.91[.]56
• 94.158.247[.]118
• 193.201.83[.]18
• 45.11.181[.]206
• 212.118.54[.]88
• 193.201.83[.]17
• popslunderflake[.]top
• getanaccess [.] net
• kavupdate[.]com
• fsbkal[.]com
• logilokforce[.]com
• onexboxlive[.]com
• stoloto[.]ai
• ptnau[.]com
• dnssign[.]xyz
• ukr-net[.]website

F.A.C.C.T. также отметили популярность у хакеров утилит Ngrok и Anydesk для доступа к ИТ-периметру жертв. И этот список не является исчерпывающим, в зависимости от ситуации злоумышленники расширяют свой арсенал новыми инструментами.