Woodgnat grupa koristi Mistic RAT za prodaju pristupa mrežama ransomware bandama
Woodgnat grupa koristi Mistic RAT trojanca da proda mrežni pristup ransomware bandama preko socijalnog inženjeringa i lažnih IT upozorenja.
Šta se desilo?
Otkrivena je nova trojanska aplikacija za udaljeni pristup (RAT) zvana Backdoor.Mistic koju koristi grupa poznata kao Woodgnat. Umesto da samostalno napada kompanije, ova grupa deluje kao posrednik - pronalazi ranjivosti u poslovnim mrežama i prodaje pristup većim ransomware operacijama poput Qilina, Interloca, Rhysida i Black Baste. Mistic se širi preko trikova na veb pregledačima i Microsoft Teamsu, dok se skriva uz pomoć sofisticiranih tehnika kako bi izbegla detekciju antivirus programa.
Koga pogađa?
Woodgnat grupa ciljno napada ustanove u obrazovanju, osiguravajućim kompanijama i IT servisima. Pošto grupa deluje kao posrednik, njeni napadi mogu indirektno omogućiti kompromitovanje različitih industrijskih sektora kada ransomware operatori preuzmu kontrolu nad mrežama koje su već infiltrirane Mistic RAT-om.
Kako se zaštititi?
- Obučite zaposlene da budu skeptični prema neočekivanim porukama od IT podrške, posebno one koje zahtevaju pokretanje komandi ili preuzimanje datoteka
- Implementirajte kontrole koje sprečavaju pokretanje PowerShell skripti iz neuobičajenih lokacija
- Pratite neobičnu mrežnu aktivnost i kommunikaciju sa sumnjivim domenama
- Aktivirajte višefaktorsku autentifikaciju kako bi se otežao neovlašćeni pristup čak i ako su kredencijali ukrađeni
- Redovno ažurirajte Windows i sve softverske aplikacije na najnovije verzije
- Blokujte pristup kompromitovanim WordPress veb sajtovima koji se koriste za distribuciju malicioznih upozorenja
Tehnički detalji
Mistic koristi višestepenu PowerShell lanac za instalaciju. Jednom instaliran, omogućava upravljanje datotekama, prikaz lažnih ekrana za prijavu i krađu lozinki. Ugrađeni Windows alati kao što su Net.exe, Reg.exe i Curl koriste se za mapiranje mreže i izvoz podataka. Ključna karakteristika je DLL sideloading tehnika koja koristi pouzdane Windows datoteke da bi se zaobišle sigurnosne mere. RAT se izvršava isključivo u privremenom memorijskom prostoru bez čuvanja datoteka na hard disku, što čini detekciju izuzetno teškom. Sadrži ugrađeni kill switch koji omogućava malveru da se obriše ako postoji opasnost od otkrivanja.
Zašto je važno za region
Metodologija Woodgnat grupe - pronalaženje pristupa mrežama i njegova prodaja naprednim cybercriminalnim grupama - predstavlja globalnu pretnju koja pogađa i institucije u Zapadnom Balkanu. Obučavanje zaposlenih je ključno jer se napadi često započinju sa socijalnim inženjerbringom kroz Microsoft Teams poruke i lažna IT upozorenja, što su taktike primenjive na sve organizacije nezavisno od geografske lokacije.
Preporuka Sajber Radara
Organizacije trebaju da prenesu fokus sa detekcije završne ransomware faze na ranije stadijume - praćenje pristupa infrastrukture koju koriste posrednici kao Woodgnat. Spremnost zaposlenih za prepoznavanje socijalnog inženjeringa i praćenje sumnjive mrežne aktivnosti su od kritične važnosti.
