В поисках QuietCrabs: как мы обнаружили новую хакерскую группу при анализе атак KrustyLoader

В процессе изучения инцидентов специалисты отдела PT ESC IR компании Positive Technologies совместно с департаментом Threat Intelligence обнаружили признаки применения вредоносного программного обеспечения KrustyLoader. Эксперты Volexity и Mandiant впервые описали это ВПО в январе 2024 года. Они отметили, что оно использовалось в атаках, эксплуатирующих RCE-уязвимости нулевого дня в продукте Ivanti Connect Secure. Изначально KrustyLoader был разработан для Linux, но впоследствии появились версии для Windows. Важно отметить, что на момент исследования это вредоносное ПО применялось только одной группой злоумышленников, известной как QuietCrabs. В ходе дальнейшего анализа инфраструктуры жертвы специалисты обнаружили активность другой хакерской группы. Предположительно, их действия помешали QuietCrabs осуществить атаку и привлекли внимание к инциденту. Есть основания полагать, что второй группой являются хакеры Thor. В статье будут подробно рассмотрены цепочки атак, выявленные в ходе расследования, а также инструменты, которые использовали злоумышленники.