Злоумышленников выявили с помощью видео

Эксперты центра исследования киберугроз Solar 4RAYS обнаружили новую атаку азиатской прогосударственной APT-группировки Obstinate Mogwai на российское ведомство.

Выявить активность злоумышленников и предпринять необходимые меры помогла Solar SafeInspect, благодаря которой действия хакеров попали на видео.

Группировка Obstinate Mogwai является проправительственной, работающей на госструктуры одной из азиатских стран. Основная цель злоумышленников — кибершпионаж, а жертвы — российские госструктуры, ИТ-компании и их подрядчики.

С 2023 года с этой группой были связаны 4 расследования, проведенных Solar 4RAYS, но не исключено, что жертв у группировки значительно больше.

Первые признаки атаки на одно из российских ведомств были зафиксированы службой мониторинга центра противодействия кибератакам Solar JSOC. Система обнаружила запросы к веб-ресурсу с индикатора компрометации, который уже находился в базе Solar 4RAYS.

Предварительно злоумышленники проникли в инфраструктуру подрядчика, а дальше использовали его привилегированные учетные записи, имеющие доступ к сети жертвы.

Для доступа в инфраструктуру целевой организации хакеры использовали терминальные серверы, где были развернуты системы электронного документооборота.

Выявить активность злоумышленников и интересовавшие их данные удалось с помощью системы контроля привилегированных пользователей Solar SafeInspect, одной из функций которых является запись экрана во время сеансов злоумышленников.

Удалось выяснить, что Obstinate Mogwai интересовали конфиденциальные документы, связанные со странами Азиатского региона. Атакующие постранично просматривали открываемые документы и делали паузы на несколько секунд для съема скриншотов.

«Арсенал Obstinate Mogwai достаточно разнообразен. Для проникновения в целевую инфраструктуру они применяют эксплуатацию публичных сервисов, доступ через подрядчика и легитимные аккаунты. Особый интерес у группы вызывают серверы Exchange, которые регулярно становились первоочередными целями для их атак. Они также используют как известные вредоносные инструменты, так и новые образцы ВПО (Donnect и DimanoRAТ). Кроме того, мы обнаружили артефакты, указывающие на связь Obstinate Mogwai с IAmTheKing — другой известной азиатской APT-группировкой. Но главная их черта — это упрямство (отсюда и название). Расследуя инциденты, мы видели, как хакеры вновь и вновь возвращались в атакованную организацию, пока мы не закрыли им все возможности для проникновения. А спустя время, мы обнаруживали следы новых попыток проникнуть в инфраструктуру, которую мы защищаем. Группа очень активна до сегодняшнего дня», — сказал Иван Сюхин, руководитель группы расследования инцидентов Solar 4RAYS ГК «Солар».