Эксперты центра исследования киберугроз Solar 4RAYS выявили новую хакерскую группировку под названием Obstinate Mogwai, специализирующуюся на кибершпионаже. Целями атак становятся государственные учреждения, ИТ-компании и их подрядчики в России. Анализ деятельности группы показывает высокий уровень настойчивости и технической подготовки злоумышленников.
Тактики и инструменты Obstinate Mogwai
В период с 2023 по начало 2024 года специалисты Solar 4RAYS зафиксировали атаки Obstinate Mogwai как минимум на четыре российские организации. Хакеры используют комбинацию методов для проникновения в целевые сети:
- Эксплуатация уязвимостей в публично доступных сервисах
- Компрометация учетных записей подрядчиков
- Использование легитимных аккаунтов
В арсенале группы обнаружены как известные вредоносные программы (KingOfHearts и TrochilusRAT), так и новые бэкдоры – Donnect и DimanoRAТ. Эти инструменты позволяют хакерам закрепляться в инфраструктуре жертвы и осуществлять долговременный сбор конфиденциальной информации.
Особенности атак и интересы группировки
Исследователи отмечают особый интерес Obstinate Mogwai к серверам Exchange, которые часто становятся отправной точкой для проникновения в корпоративные сети. Злоумышленники также нацелены на терминальные серверы, обеспечивающие доступ к системам электронного документооборота.
В ходе одного из инцидентов, произошедшего в январе 2024 года, действия хакеров были зафиксированы системой Solar SafeInspect. Анализ записей показал, что атакующие вручную просматривали конфиденциальные документы, уделяя особое внимание материалам, связанным с несколькими странами Азиатского региона.
Методы сбора информации
Эксперты Solar 4RAYS обратили внимание на необычный подход Obstinate Mogwai к сбору данных. Злоумышленники демонстрировали глубокое знание интерфейса сложных систем электронного документооборота, методично просматривая документы и делая паузы, предположительно для создания скриншотов или записи экрана.
Связи с другими APT-группами
Анализ тактик и инструментов Obstinate Mogwai выявил пересечения с другими APT-группировками азиатского региона. Наибольшее количество совпадений обнаружено с группой IAmTheKing (также известной как PowerPool). Это позволяет предположить, что Obstinate Mogwai может быть эволюционировавшей версией IAmTheKing с обновленным набором инструментов и методов.
Появление Obstinate Mogwai подчеркивает растущую сложность ландшафта киберугроз, с которыми сталкиваются российские организации. Высокий уровень технической подготовки, настойчивость и целенаправленный характер атак требуют от служб информационной безопасности постоянной бдительности и совершенствования методов защиты. Организациям рекомендуется усилить мониторинг сетевой активности, регулярно обновлять системы безопасности и проводить обучение сотрудников по вопросам кибергигиены для минимизации рисков успешных атак.
