В январе 2024 года специалисты по кибербезопасности зафиксировали появление новой русскоязычной хакерской группировки Masque, которая специализируется на атаках на российские компании с использованием программ-вымогателей. За год своей деятельности группа провела не менее десяти успешных атак, преимущественно targeting малый и средний бизнес.
Тактика и инструменты атак
Основным вектором проникновения в системы жертв является эксплуатация уязвимости CVE-2021-44228 (log4shell) в библиотеке log4j. Злоумышленники атакуют публично доступные сервисы, такие как VMware Horizon, используя скомпрометированные серверы как плацдарм для дальнейшего развития атаки. В арсенале группы присутствуют широко известные инструменты: AnyDesk, chisel, LocaltoNet и mimikatz.
Особенности операционной деятельности
Исследователи отмечают, что группировка Masque использует относительно простые методы атак. Злоумышленники передвигаются по сети преимущественно через протоколы RDP и SSH, иногда применяя WinRM и SMBExec. Среднее время присутствия в инфраструктуре жертвы составляет от нескольких дней до двух недель. Примечательно, что группа не уделяет особого внимания предварительной эксфильтрации данных.
Новый инструмент в арсенале — MystiqueLoader
Особый интерес представляет обнаруженный специалистами новый инструмент группировки — программа dwm.exe, получившая название MystiqueLoader. Этот компактный загрузчик (47 КБ) способен получать команды через DNS-протокол и загружать вредоносные модули непосредственно в память процесса. Появление этого инструмента может свидетельствовать о развитии технических возможностей группировки.
Финансовые требования и коммуникация
Сумма первоначального выкупа, требуемая группировкой, варьируется в пределах 5-10 миллионов рублей, с оплатой в криптовалютах BTC или XMR. Для коммуникации с жертвами используется мессенджер Tox, причем для каждой атаки создается уникальный идентификатор.
Активизация подобных группировок подчеркивает важность своевременного обновления систем безопасности и устранения известных уязвимостей. Организациям рекомендуется уделять особое внимание защите публично доступных сервисов и регулярному резервному копированию данных, поскольку именно эти меры могут существенно снизить ущерб от подобных атак.
