✔Хактивисты расширяют географию своих атак - «Новости»

10 июня 2026 1 Новости / Изображения / Отступы и поля / Преимущества стилей / Вёрстка / Заработок 0

Отправной точкой для проведения этого расследования стала компрометация неназванной российской организации. Опираясь на найденные индикаторы, специалисты выявили другие атакованные инфраструктуры и обнаружили, что активность злоумышленников выходит далеко за пределы привычной «идеологической» повестки.

Исследователи в первую очередь анализировали кампании группировки 4BID, но в тех же сетях обнаружили следы «Хакерского кiта», C.A.S и Goffee. Специалисты полагают, что это может свидетельствовать о совместных операциях или связях между группами.

В большинстве случаев атаки начинались с эксплуатации уязвимостей в Microsoft Exchange, включая нашумевшую проблему ProxyShell. После этого злоумышленники размещали на машине жертвы веб-шелл fd.aspx, запускали PowerShell или cmd.exe, собирали данные о системе и загружали дополнительные инструменты.

Арсенал хактивистов оказался смешанным: кастомная малварь, публичные C2-фреймворки и легитимное ПО двойного назначения. К примеру, в атаках встречались AnyDesk, Advanced IP Scanner, Dev Tunnels, Panorama9, Nezha Monitoring и Tactical RMM.

При этом часть скриптов для доставки утилит выглядела как сгенерированная ИИ. В нескольких взломанных инфраструктурах были найдены разные версии одного и того же инструмента, причем часть из них не работала. По мнению специалистов, это может указывать на использование ИИ при разработке: сгенерированный код нередко требует дополнительной доработки и не всегда корректно функционирует сразу после создания.

Главным инструментом в изученных атаках стала обновленная версия малвари Blackout Locker. Теперь этот вымогатель умеет не только шифровать файлы, но и запускать блокировщик экрана. Он закрепляется в системе через Планировщик задач и элементы автозагрузки, и даже в случае закрытия окна локера (если жертва каким-то образом узнает правильный пароль и введет его) вредонос может запускаться снова.

Также в ходе анализа исследователи обнаружили ранее неизвестный бэкдор BlackSalt, который представляет собой реверс-шелл.ю Бэкдор получает команды от управляющего сервера и выполняет их через cmd.exe.

Помимо перечисленного, в инфраструктурах жертв был замечен шифровальщик ClearWater, связанный с активностью «Хакерского кiта» и C.A.S. Он шифрует файлы, добавляет к ним расширение .clear, оставляет в системе вымогательскую записку CLEARWATER_README.txt, меняет обои рабочего стола и пытается усложнить восстановление системы, удаляя теневые копии и точки восстановления.

Кроме того, исследователи отдельно отмечают, что хактивисты активно применяют в своих кампаниях EDR-киллеры (например, kil.exe, Killer.exe и GhostDriver.exe). Эти инструменты используют технику BYOVD (Bring Your Own Vulnerable Driver) и эксплуатируют уязвимые драйверы, чтобы завершать процессы защитных решений.

По мнению специалистов, такая смена поведения указывает на то, что хактивисты постепенно отходят от идеологических атак все чаще действуют из финансовых соображений. Один из участников группы 4BID и вовсе заявлял о том, что атаки на РФ больше не рентабельны.

Хактивисты расширяют географию своих атак - «Новости»

«Смена приоритетов хактивистов — от исключительно идеологически мотивированных атак в одном регионе к коммерчески ориентированным кампаниям в нескольких странах — говорит о том, что в поле зрения злоумышленников могут попасть организации в разных частях света», — резюмируют аналитики «Лаборатории Касперского».

Специалисты «Лаборатории Касперского» обнаружили, что сразу несколько хактивистских группировок, которые раньше атаковали в основном российские организации, начали искать жертв в других странах. В их фокус попали Казахстан, ОАЭ, Сирия и Египет, а среди целей оказались госструктуры, медучреждения и авиационная отрасль. Отправной точкой для проведения этого расследования стала компрометация неназванной российской организации. Опираясь на найденные индикаторы, специалисты выявили другие атакованные инфраструктуры и обнаружили, что активность злоумышленников выходит далеко за пределы привычной «идеологической» повестки. Исследователи в первую очередь анализировали кампании группировки 4BID, но в тех же сетях обнаружили следы «Хакерского кiта», C.A.S и Goffee. Специалисты полагают, что это может свидетельствовать о совместных операциях или связях между группами. В большинстве случаев атаки начинались с эксплуатации уязвимостей в Microsoft Exchange, включая нашумевшую проблему ProxyShell. После этого злоумышленники размещали на машине жертвы веб-шелл fd.aspx, запускали PowerShell или cmd.exe, собирали данные о системе и загружали дополнительные инструменты. Арсенал хактивистов оказался смешанным: кастомная малварь, публичные C2-фреймворки и легитимное ПО двойного назначения. К примеру, в атаках встречались AnyDesk, Advanced IP Scanner, Dev Tunnels, Panorama9, Nezha Monitoring и Tactical RMM. При этом часть скриптов для доставки утилит выглядела как сгенерированная ИИ. В нескольких взломанных инфраструктурах были найдены разные версии одного и того же инструмента, причем часть из них не работала. По мнению специалистов, это может указывать на использование ИИ при разработке: сгенерированный код нередко требует дополнительной доработки и не всегда корректно функционирует сразу после создания. Главным инструментом в изученных атаках стала обновленная версия малвари Blackout Locker. Теперь этот вымогатель умеет не только шифровать файлы, но и запускать блокировщик экрана. Он закрепляется в системе через Планировщик задач и элементы автозагрузки, и даже в случае закрытия окна локера (если жертва каким-то образом узнает правильный пароль и введет его) вредонос может запускаться снова. Также в ходе анализа исследователи обнаружили ранее неизвестный бэкдор BlackSalt, который представляет собой реверс-шелл.ю Бэкдор получает команды от управляющего сервера и выполняет их через cmd.exe. Помимо перечисленного, в инфраструктурах жертв был замечен шифровальщик ClearWater, связанный с активностью «Хакерского кiта» и C.A.S. Он шифрует файлы, добавляет к ним расширение .clear, оставляет в системе вымогательскую записку CLEARWATER_README.txt, меняет обои рабочего стола и пытается усложнить восстановление системы, удаляя теневые копии и точки восстановления. Кроме того, исследователи отдельно отмечают, что хактивисты активно применяют в своих кампаниях EDR-киллеры (например, kil.exe, Killer.exe и GhostDriver.exe). Эти инструменты используют технику BYOVD (Bring Your Own Vulnerable Driver) и эксплуатируют уязвимые драйверы, чтобы завершать процессы защитных решений. По мнению специалистов, такая смена поведения указывает на то, что хактивисты постепенно отходят от идеологических атак все чаще действуют из финансовых соображений. Один из участников группы 4BID и вовсе заявлял о том, что атаки на РФ больше не рентабельны. «Смена приоритетов хактивистов — от исключительно идеологически мотивированных атак в одном регионе к коммерчески ориентированным кампаниям в нескольких странах — говорит о том, что в поле зрения злоумышленников могут попасть организации в разных частях света», — резюмируют аналитики «Лаборатории Касперского».

Цитирование статьи, картинки - фото скриншот - Rambler News Service.

Иллюстрация к статье - Яндекс. Картинки.

Есть вопросы. Напишите нам.

Общие правила поведения на сайте.