Финансово-мотивированная группировка Gold Melody недавно была идентифицирована как брокер начального доступа (IAB), который продаёт сторонним киберпреступникам доступ к скомпрометированным организациям для проведения последующих атак.
Псевдоним “Gold Melody” присвоили группе исследователи Secureworks, но также она известна под именами “Prophet Spider” (CrowdStrike) и “UNC961” (Mandiant).
Согласно информации Secureworks, хакеры Gold Melody активны с 2017 года и специализируются на взломе организаций, эксплуатируя уязвимости в неисправленных серверах, доступных из Интернета.
Атаки этой группы носят в первую очередь финансовую мотивацию и направлены на получение прибыли, а не на действия в интересах государственных структур.
Gold Melody ранее была связана с атаками на серверы JBoss Messaging, Citrix ADC, Oracle WebLogic, Apache Log4j, GitLab и другими.
Середина 2020 года ознаменовала расширение зоны действий группировки. Целями атак стали организации в сферах розничной торговли, здравоохранения, энергетики, финансовых операций и высоких технологий. География стала включать Северную Америку, Северную Европу и Западную Азию.
Аналитики из Mandiant отмечают, что действия UNC961 часто предшествуют развёртыванию таких программ-вымогателей, как Maze и Egregor. Обладая весьма разнообразным арсеналом инструментов, Gold Melody также часто использует собственные трояны и инструменты для удалённого доступа, такие как GOTROJ и BARNWORK.
Между июлем 2020 и июлем 2022 года Secureworks специалисты связали Gold Melody с пятью разными вторжениями, в ходе которых были использованы совершенно разные уязвимости. После успешного проникновения в систему обычно следует развёртывание веб-оболочек для удержания позиций, а затем создание директорий в скомпрометированном хосте для поэтапного размещения используемых в последующих атаках инструментов.
Разведывательная фаза закладывает прочную основу для добычи учётных данных, горизонтального перемещения и выведения данных. После её осуществления группировка может продать доступ другой группировке злоумышленников, имеющих свои планы на выбранную компанию.
Примечательно, что все пять атак Gold Melody с 2020 по 2022, которые Secureworks связала с группировкой, по итогу не увенчались успехом. Несмотря на это, исследователи подчёркивают, что действия и методы Gold Melody являются напоминанием важности своевременного обновления программного обеспечения, используемого в организациях.
Заплатки для большинства уязвимостей, эксплуатируемых злоумышленниками, обычно выходят весьма оперативно, в то время как компании сами тянут с установкой исправлений на свои системы. А предприимчивые хакеры просто не могут удержаться, видя столь лакомые и уязвимые цели на своём киберрадаре.