Возвращение Forbidden Hyena: троян BlackReaper RAT угрожает российским компаниям

Профиль угрозы и тактика группировки

Forbidden Hyena — киберпреступная группировка, ранее уже осуществлявшая атаки на российские компании, вернулась с обновленным арсеналом. Новый инструмент — троян удаленного доступа (RAT) BlackReaper — представляет собой многофункциональное вредоносное ПО, позволяющее злоумышленникам:

• Скрытно проникать в корпоративные сети через фишинг, эксплуатацию уязвимостей или компрометацию цепочек поставок
  
• Извлекать конфиденциальные данные — коммерческую тайну, персональные данные, финансовую информацию, интеллектуальную собственность
  
• Выполнять произвольные команды на зараженных системах, устанавливать дополнительное ПО, осуществлять lateral movement
  
• Обеспечивать долгосрочное присутствие (persistent access) в инфраструктуре жертвы без обнаружения в течение месяцев
  

Эволюция техник уклонения

Особенность текущей кампании — обновленные механизмы маскировки и устойчивости:

• Обход EDR-систем — троян использует техники «жизни за пределами земли» (living off the land), легитимные системные инструменты и обфускацию для избежания сигнатурного обнаружения
  
• Устойчивость к анализу — применение anti-debugging техник, проверка виртуальных сред и песочниц
  
• Шифрование коммуникаций — использование легитимных облачных сервисов (CDN, хостинги, облачные хранилища) в качестве командных серверов (C2), что затрудняет обнаружение аномального трафика
  
• Модульная архитектура — возможность динамической загрузки плагинов, расширяющих функциональность по мере необходимости
  

Цели атак: кибершпионаж, кража интеллектуальной собственности, подготовка к дальнейшей монетизации компрометации (шифрование данных с требованием выкупа, продажа доступа другим группировкам, использование скомпрометированной инфраструктуры для атак на контрагентов — supply chain attacks).

Что делать бизнесу: многоуровневая защита от APT

Технические меры:

• Обновить EDR/XDR-системы до последних версий с акцентом на поведенческий анализ (behavioral analytics) и детекцию аномалий, а не только сигнатурное обнаружение
  
• Внедрить сетевое сканирование на наличие RAT — регулярный hunt for indicators of compromise (IoC), анализ трафика на предмет beaconing-активности, проверку целостности критических системных файлов
  
• Усилить сегментацию сети — разделение на VLAN, микросегментация, zero trust architecture для минимизации lateral movement
  
• Внедрить принцип минимальных привилегий (least privilege) — ограничение прав пользователей и сервисов, многофакторная аутентификация (MFA) для всех критичных доступов, just-in-time администрирование
  

Организационные меры:

• Провести тренинги по осведомленности для сотрудников с фокусом на фишинг и социальную инженерию (основной вектор проникновения RAT)
  
• Установить строгий контроль за использованием removable media, личных устройств (BYOD) и удаленным доступом
  
• Разработать процедуры реагирования на инциденты с участием RAT — изоляция, форензика, восстановление, нотификация
  

Проактивный hunt:

• Создать или аутсорсить Threat Hunting команду для поиска следов скрытого присутствия в сети
  
• Подписаться на ** threat intelligence feeds** с информацией о тактиках, техниках и процедурах (TTP) группировки Forbidden Hyena