Группа RGB-Team: анализ атак и вредоносного ПО CMoon

Введение

Группа RGB-Team является хактивистской группой, которая была активна вплоть до июля 2024 года. Они нацелены на критическую инфраструктуру России и проводят атаки с целью извлечь конфиденциальные данные. Группа использует самописный червь CMoon, который до сих пор никто публично не приписывал какой-либо группе.

Подробности

Цепочка атаки группы RGB-Team мало чем отличается от стандартного для хактивистов сценария. Изначально злоумышленники скомпрометировали сервис WordPress газодобывающей компании, заразили ее системы червем CMoon, а также получили доступ к панели управления и опубликовали при помощи техники Drive-By Compromise вредоносные образцы по URL-пути wp-content/uploads/exe/. В дальнейшем атакующие отправляли жертвам письма с фишинговыми ссылками, которые вели на размещенное на этом ресурсе вредоносное ПО CMoon, замаскированное под офисные файлы при помощи двойного расширения. CMoon скомпилирован на .NET версии 4.7.2 и обфусцирован при помощи собственного алгоритма cо вставками лишнего кода и ложными ветвлениями, которые увеличили его размер.

Что делать

Чтобы защититься от атак группы RGB-Team и вредоносного ПО CMoon, необходимо принимать стандартные меры безопасности, такие как использование антивирусного ПО, регулярное обновление программного обеспечения и операционной системы, а также использование сильных паролей и двухфакторной аутентификации. Кроме того, необходимо быть осторожным при открытии вложений и ссылок в электронных письмах, особенно если они приходят от неизвестных отправителей. Итог: Группа RGB-Team представляет собой значительную угрозу для критической инфраструктуры России, и ihre атаки необходимо серьезно воспринимать. Чтобы защититься от этих атак, необходимо принимать все необходимые меры безопасности и быть осторожным при открытии вложений и ссылок в электронных письмах.

Источник: Kaspersky Securelist RU