Компания F.A.C.C.T. обнаружила новые кибератаки преступного синдиката Comet (известного также как Shadow / Twelve) и их соучастников, направленные против российских компаний. Эксперты полагают, что имеют дело с группой «двойного назначения» и для эффективного противодействия киберпреступникам публикуют списки инструментов и адресов, который злоумышленники использовали в своих атаках, начиная с начала 2023 года.
Comet, ранее известная как Shadow, – это вымогательская группа, которая сначала крадет конфиденциальные данные, а затем шифрует их и требует выкуп за расшифровку. В 2023 году максимальный запрошенный выкуп составил $3,5 млн.
Группировка Twelve является политически-мотивированной группой, которая в результате своих атак сначала крадет конфиденциальные данные из инфраструктуры жертвы, а после разрушает ее IT-инфраструктуру путем необратимого шифрования и удаления данных. Далее злоумышленники публикуют украденную информацию в различных публичных источниках, а также используют ее для проведения каскадных атак на контрагентов жертвы.
После публикации отчета F.A.C.C.T., в котором было выявлено , что Shadow и Twelve используют одни и те же инструменты и инфраструктуру, Shadow провела ребрендинг и стала Comet.
Вместе с тем, среди соучастников Comet / Twelve выявлены участники группы Cobalt, которую в свое время Европол обвинял в кражах около 1 млрд евро у 100 банков по всему миру. Отчет Positive Technologies раскрыл инструменты, которые не только фиксировались специалистами Лаборатории цифровой криминалистики F.A.C.C.T. в исследованиях, но и по частным признакам позволили связать политически-мотивированную Twelve с финансово-мотивированной Comet (ранее Shadow).
В атаках Comet / Twelve используются вредоносные программы, включая DarkGate, FaceFish, SystemBC, Cobint / Cobalt Strike. А на завершающем этапе для шифрования данных используют программы-вымогатели семейств LockBit 3 (Black) и Babuk, созданные на основе утекших в публичный доступ данных.
Наряду с общими инструментами, а также идентичными тактиками, техниками, процедурами группировка и их сообщники при проведении атак используют общую сетевую инфраструктуру.
Ниже представлен список адресов, которые использовались злоумышленниками в атаках, начиная с февраля 2023 года:
192.210.160[.]165
45.89.65[.]199
5.181.234[.]58
5.252.177[.]181
62.113.116[.]211
78.46.109[.]143
88.218.61 [,]114
94.103.88[.] 115
94.103.91[.]56
94.158.247[.]118
193.201.83[.]18
45.11.181[.]206
212.118.54[.]88
193.201.83[.]17
popslunderflake[.]top
getanaccess [.] net
kavupdate[.]com
fsbkal[.]com
logilokforce[.]com
onexboxlive[.]com
stoloto[.]ai
ptnau[.]com
dnssign[.]xyz
ukr-net[.]website
F.A.C.C.T. также отметили популярность у хакеров утилит Ngrok и Anydesk для доступа к ИТ-периметру жертв. И этот список не является исчерпывающим, в зависимости от ситуации злоумышленники расширяют свой арсенал новыми инструментами.
Источник: SecurityLab