Intenzívebb Head Mare tevékenység
2024. szeptember 2-án a Kaspersky egy blogot tett közzé a Head Mare csoportról, amely először 2023-ban jelent meg. A Head Mare egy hacktivista csoport, amely oroszországi és fehéroroszországi szervezeteket vesz célba azzal a céllal, hogy anyagi haszon helyett maximális kárt okozzon. Naprakész taktikákat használnak, például a WinRAR-ban található CVE-2023-38831 sérülékenység kihasználását, hogy kezdeti hozzáférést szerezzenek és rosszindulatú hasznos terhet juttassanak el az érintett rendszerbe. Célpontjaik különböző iparágakban tevékenykednek, többek között a kormányzat, a közlekedés, az energiaipar, a gyártás és a szórakoztatás területén.
A Cyble Research and Intelligence Labs (CRIL) nemrégiben azonosított egy olyan kampányt, amelyben a Head Mare csoport oroszokat célzott meg. Bár a kezdeti fertőzési vektor továbbra is ismeretlen, a csoport jellemzően spam e-maileken keresztül éri el a felhasználókat. Ebben a kampányban egy „Doc.Zip” nevű ZIP archívumot fedeztek fel, amely egy rosszindulatú LNK fájlt, egy PhantomCore-ként azonosított, „Doc.zip”-nek álcázott futtatható fájlt és egy sérült PDF-et tartalmazott. Az LNK fájl futtatásakor a „Doc.Zip” archívumot a „C:/ProgramData” könyvtárba csomagolja ki, és a „Doc.zip” fájlt a cmd.exe segítségével végrehajtja. A végrehajtást követően a kártevő összegyűjti az áldozat adatait, például a nyilvános IP-címet, a Windows verziót, felhasználóneveket stb., és elküldi azokat egy parancs- és vezérlő (C&C) szerverre. Ezután további parancsokat vár a C&C-kiszolgálótól, hogy további rosszindulatú tevékenységeket hajtson végre. A Head Mare csoport korábbi támadásai során már ismert volt a ransomwar-ek bevetéséről, amelyek különböző rendszereket és környezeteket céloztak meg. Ez magában foglalja a széles körben ismert r-tansomware törzsek, például a LockBit Windows-gépekre és a Babuk ESXi (VMware) környezetekre történő használatát.
Korábban a PhantomCore backdoor mintákat GoLang nyelven fejlesztették. A legutóbbi kampányban azonban a kiberszereplő C++-ra fordított PhantomCore binárisokat használ. Emellett a PhantomCore C++ verziója tartalmazza a Boost.Beast könyvtárat, amely megkönnyíti a kommunikációt a fertőzött rendszer és a C2 szerver között HTTP WebSockets-en keresztül.
