Фахівці центру дослідження кіберзагроз Solar 4RAYS виявили нову серію атак, здійснених групою Obstinate Mogwai. Ця хакерська організація спеціалізується на кібершпигунстві та націлена на державні установи, IT-компанії та їхніх підрядників. Експерти попереджають про зростаючу загрозу та необхідність посилення заходів кібербезпеки.
Методи проникнення та інструменти атаки
За даними дослідників, з 2023 по початок 2024 року Obstinate Mogwai здійснила атаки щонайменше на чотири російські організації. Хакери використовують різноманітні методи для проникнення в цільові мережі:
- Експлуатація вразливостей публічно доступних сервісів
- Отримання доступу через підрядників
- Використання легітимних облікових записів
Група застосовує як відомі шкідливі інструменти (KingOfHearts і TrochilusRAT), так і нові бекдори – Donnect та DimanoRAТ. Особливу увагу хакери приділяють серверам Exchange, які часто стають точкою входу в інфраструктуру жертв.
Тактика та цілі кібершпигунів
Експерти Solar 4RAYS зафіксували унікальний випадок атаки на російську держустанову в січні 2024 року. Завдяки системі Solar SafeInspect вдалося записати дії зловмисників, які вручну переглядали конфіденційні документи та робили скріншоти. Хакери продемонстрували глибоке знання інтерфейсу складної системи електронного документообігу.
Основні цілі Obstinate Mogwai:
- Отримання доступу до серверів Exchange
- Закріплення в інфраструктурі жертви
- Викрадення конфіденційних документів
- Доступ до систем електронного документообігу
Особливості тактики групи
Дослідники відзначають надзвичайну наполегливість Obstinate Mogwai. Хакери неодноразово поверталися до атакованих організацій, навіть після того, як фахівці з кібербезпеки блокували всі відомі шляхи проникнення. Ця поведінка і стала причиною назви групи – “Упертий демон”.
Зв’язок з іншими хакерськими угрупованнями
Аналіз діяльності Obstinate Mogwai виявив схожість з іншими кіберзлочинними групами азіатського регіону. Найбільше збігів знайдено з APT IAmTheKing (також відома як PowerPool). Експерти припускають, що Obstinate Mogwai може бути наступником IAmTheKing з оновленим арсеналом інструментів.
Виявлення нової кібершпигунської групи Obstinate Mogwai підкреслює важливість постійного моніторингу та вдосконалення систем захисту. Організаціям рекомендується посилити заходи кібербезпеки, особливо щодо захисту серверів Exchange та систем електронного документообігу. Регулярні аудити безпеки, навчання персоналу та впровадження сучасних систем виявлення вторгнень допоможуть знизити ризик успішних атак.
