Атаки этой группы отличаются высокой скрытностью, адаптивностью и технической сложностью.
Главная цель злоумышленников — получение доступа к критически важной информации и внутренняя разведка. Cloaked Shadow проникает в сети через уязвимости в интернет-доступных сервисах. Чтобы не вызывать подозрений, группа использует легитимные инструменты с открытым исходным кодом: это позволяет оставаться незамеченной для большинства систем защиты.
После проникновения внутрь инфраструктуры группа использует разные подходы в зависимости от ОС. В Linux — маскируется под системные службы, в Windows — внедряется через запланированные задачи. Далее — повышение привилегий с помощью украденных учетных записей и утилит, таких как дампер lsass, а также эксплойтов ESC-серии. Одной из ключевых целей становится база ntds.dit, содержащая информацию о пользователях в домене.
Cloaked Shadow не просто проникает внутрь — она строит цепочки переходов между внутренними серверами, углубляется в структуру сети и начинает эксфильтрацию. Похищаются документы, содержимое директорий, пароли, сертификаты, SSH-ключи. Параллельно группа активно затирает следы: отключает логи, подменяет процессы, использует ложные сетевые адреса и изменяет системные журналы.
В арсенале — собственный вредоносный софт, который не распространяется массово, а адаптируется под каждую цель. Это кастомизированный бэкдор, который обновляется для обхода конкретных защитных механизмов.
Эксперты подчеркивают: обнаружить такую угрозу крайне сложно. Один из немногих способов — контроль целостности системы и отслеживание файлов, не входящих в стандартные пакеты. Также важно вести учет всех SSH-ключей и регулярно проверять активные привилегированные учетные записи.
