Урок от Shadow: даже «простые» инструменты могут иметь «серьезные» последствия

В начале сентября 2023 года аналитики Threat Intelligence компании F.A.C.C.T. обнаружили на сервере, который использовался неизвестными для атак на российские компании, открытую директорию с логами SQLMap, Metasploit, ProxyShell-Scanner и других доступных утилит для тестирования на проникновение.

Эксперты отмечают, что применение относительно простых и широко известных инструментов для пентестинга является распространенной тактикой среди злоумышленников начального уровня. Подобные утилиты не требуют глубоких знаний в ИТ-сфере, что облегчает их использование. Кроме того, задействование стандартных программ увеличивает вероятность того, что атака пройдет незамеченной средствами кибербезопасности.

Однако в ходе дальнейшего анализа атак, техник, инструментов, сетевой и файловой инфраструктуры, изначально рассматриваемых как часть независимого кластера вредоносной активности, была установлена связь атакующих с крупной преступной группой, известной как Shadow (Twelve/Comet/DARKSTAR).

Группа Shadow входит в состав киберпреступного синдиката Shadow-Twelve. Ее характерной особенностью является возможность проводить как финансово мотивированные, так и политически подкрепленные атаки. В первом случае хакеры похищают конфиденциальные данные жертв, шифруют их и вымогают выкуп, который в 2023 году достигал $3,5 млн. Во втором же случае, действуя от имени Twelve, они публикуют украденную информацию и уничтожают инфраструктуру компаний. Вопреки первоначальным предположениям о ее активизации в начале 2023 года, эксперты установили, что Shadow начала кампанию гораздо раньше - в сентябре 2022-го.

Целями Shadow становились преимущественно российские организации из различных отраслей. В общей сложности хакеры атаковали свыше 100 компаний, полностью скомпрометировав как минимум десять из них. Все идентифицированные жертвы были уведомлены экспертами F.A.C.C.T.

Все технические подробности исследования эксперты компании подробно описали в отчете .