Группировка стремиться нанести максимальный ущерб организациям из РФ и Беларуси.
«Лаборатория Касперского» опубликовала подробный отчет о деятельности хакерской группировки Head Mare, которая с 2023 года активно атакует российские и белорусские организации. Эксперты провели тщательный анализ инцидентов и раскрыли тактику, методы и инструменты, используемые злоумышленниками.
Head Mare впервые заявила о себе в социальной сети X* (бывший Twitter) в 2023 году. Группировка публикует информацию о своих жертвах, включая названия организаций, украденные внутренние документы и скриншоты рабочих столов. На момент проведения исследования Head Mare заявила о девяти жертвах из различных отраслей, включая госучреждения, транспорт, энергетику, производство и сферу развлечений.
Основной целью атак Head Mare является нанесение максимального ущерба компаниям из России и Беларуси. При этом группировка также требует выкуп за расшифровку данных, что отличает ее от некоторых других хактивистских групп.
Для первоначального доступа Head Mare проводит фишинговые кампании, распространяя RAR-архивы, эксплуатирующие уязвимость CVE-2023-38831 в WinRAR. Это позволяет злоумышленникам эффективнее доставлять и лучше маскировать вредоносную нагрузку.
В своем арсенале Head Mare использует как общедоступное программное обеспечение, так и собственные разработки. Среди инструментов группировки:
Злоумышленники активно маскируют свою деятельность, используя имена файлов и пути, похожие на легитимные системные процессы. Например, вредоносные программы могут располагаться в каталоге C:\ProgramData под именами OneDrive.exe или VLC.exe.
Для закрепления в системе Head Mare использует несколько методов, включая добавление вредоносных программ в ключ реестра Run и создание задач планировщика. Группировка также применяет обфускацию своих инструментов, предположительно с помощью популярного обфускатора Go под названием Garble.
Эксперты «Лаборатории Касперского» отмечают, что тактики, методы и инструменты Head Mare во многом схожи с активностью других групп, атакующих организации в России и Беларуси в рамках российско-украинского конфликта. Однако группа отличается использованием самописных вредоносных программ PhantomDL и PhantomCore, а также эксплойтов к сравнительно свежей уязвимости CVE-2023-38831 в рамках фишинговых кампаний.
Важно отметить, что все связанные с Head Mare образцы вредоносного ПО детектировались только на территории России и Беларуси, согласно данным Kaspersky Threat Intelligence.
Исследователи подчеркивают, что российским и белорусским организациям стоит обратить особое внимание на эволюцию и совершенствование тактик, техник и процедур (TTP) злоумышленников. Эксперты рекомендуют регулярно обновлять программное обеспечение, проводить аудит безопасности и обучать сотрудников правилам кибергигиены, уделяя особое внимание защите от фишинговых атак.
* Социальная сеть запрещена на территории Российской Федерации
Ладно, не доказали. Но мы работаем над этим