Одним из таких методов является эксплуатация недавно обнаруженной уязвимости CVE-2023-38831 в программе WinRAR. Эта уязвимость позволяет злоумышленникам выполнять произвольный код на целевой системе через специально подготовленный архив, что облегчает доставку и маскировку вредоносного ПО.
Head Mare действует с 2023 года и является одной из хактивистских группировок, осуществляющих атаки на российские организации. Группа активно присутствует в социальных сетях и публикует конфиденциальную информацию и внутренние документы жертв. В числе целей её атак — правительственные учреждения, транспортные и энергетические компании, производственные предприятия и организации, занимающиеся охраной окружающей среды.
В отличие от других хактивистов, нацеленных на причинение максимального ущерба, Head Mare шифрует устройства своих жертв с помощью программ-вымогателей LockBit для Windows и Babuk для Linux (ESXi), требуя выкуп за расшифровку данных. В её арсенале также находятся инструменты PhantomDL и PhantomCore. PhantomDL — это бэкдор на базе Go, способный доставлять дополнительные вредоносные компоненты и загружать файлы на сервер управления и контроля (C2). PhantomCore, известный также как PhantomRAT, представляет собой троян удаленного доступа, который позволяет загружать файлы с C2-сервера и выполнять команды на скомпрометированном хосте.
Злоумышленники маскируют свою активность под процессы Microsoft, создавая задачи и параметры реестра с именами MicrosoftUpdateCore и MicrosoftUpdateCoree. Они также распространяют вредоносные образцы LockBit под именами OneDrive.exe и VLC.exe, размещая их в каталоге C:\ProgramData, чтобы замаскировать их под легитимные приложения. Эти артефакты обычно распространяются через фишинговые кампании в виде документов с двойными расширениями, такими как "решение.pdf.exe" или "тз на разработку.pdf.exe".
Кроме того, Head Mare использует фреймворк Sliver, а также различные общедоступные инструменты, такие как rsockstun, ngrok и Mimikatz, которые помогают в обнаружении целей, горизонтальном перемещении и сборе учетных данных. В конце атак злоумышленники разворачивают LockBit или Babuk, после чего жертвам направляется записка с требованием выкупа для получения дешифратора.
В компании "Касперский" отметили, что тактика, методы, процедуры и инструменты, используемые группой Head Mare, схожи с действиями других групп. Однако отличительной особенностью Head Mare является использование специально разработанного вредоносного ПО, такого как PhantomDL и PhantomCore, а также эксплуатация относительно новой уязвимости CVE-2023-38831 для проведения фишинговых атак.
