Как хакеры используют рекламные посты в соцсетях: атаки Desert Dexter на Ближнем Востоке

В феврале специалисты группы киберразведки департамента Threat Intelligence экспертного центра безопасности Positive Technologies (PT ESC) обнаружили вредоносную кампанию, нацеленную на жителей стран Ближнего Востока и Северной Африки и активную с сентября 2024 года. Для распространения вредоносного ПО злоумышленники создают поддельные новостные группы в социальных сетях и публикуют посты с рекламой, содержащие ссылки на файлообменник или Telegram-канал. По этим ссылкам располагается вредонос AsyncRAT, модифицированное для поиска криптокошельков и взаимодействия с Telegram-ботом. Похожую кампанию в 2019 году описали эксперты из компании Check Point, но сейчас наблюдается изменение некоторых техник в цепочке атаки. Подробное изучение инцидентов и жертв показало, что наиболее атакуемыми странами являются Египет, Ливия, ОАЭ, Россия, Саудовская Аравия и Турция. Мы назвали группировку Desert Dexter, в честь одного из подозреваемых. О том, какую цепочку атаки подготовили злоумышленники, рассказываем в статье.

https://habr.com/ru/companies/pt/articles/888124/

Атака с помощью нового Mythic-агента на PowerShell — «QwakMyAgent»

Во второй половине сентября 2024 года специалистами Центра Кибербезопасности компании F.A.C.C.T. была выявлена атака на российскую компанию с использованием ранее необнаруженного Mythic агента, написанного на PowerShell. К исследованию новой атаки подключились также специалисты F.A.C.C.T. Threat Intelligence . Обнаруженный агент был назван экспертами F.A.C.C.T “ QwakMyAgent ”. Агент получил название по причине того, что в случае получения команды для завершения своей работы, QwakMyAgent отправляет уникальную строку «Qwak!» на C2-сервер.

https://habr.com/ru/companies/f_a_c_c_t/articles/847884/

Призрачно всё: новые рассылки кибершпионов PhantomCore на российские компании с использованием PhantomCore.KscDL_trim

5 сентября специалистами F.A.C.C.T. было зафиксировано несколько рассылок группы PhantomCore , нацеленных в адрес российской ИТ-компании, являющейся разработчиком ПО и онлайн-касс, компании, занимающейся организацией командировок, конструкторского бюро, производителя систем и высокотехнологичного оборудования беспроводной связи.

https://habr.com/ru/companies/f_a_c_c_t/articles/841348/

OldGremlin: снова в строю

Группировка вымогателей OldGremlin сеяла страх среди российских компаний в 2020-2022 годах, суммы требуемых выкупов исчислялись миллионами, а в 2022 году в одной из атак ценник поднялся до 1 миллиарда рублей. Мы писали об атакующих в исследованиях, например, здесь и здесь . Группа была неактивна с сентября 2022 года, или по крайней мере не попадала в наше поле зрения. Но вот почти спустя два года злоумышленники снова дали знать о себе. Специалисты F.A.C.C.T. проанализировали новую рассылку и новый инструмент атакующих – OldGremlin.JsDownloader. О новых открытиях, связанных с известной группировкой вымогателей, рассказал специалист по анализу вредоносного кода департамента Threat Intelligence компании F.A.C.C.T. Артем Грищенко.

https://habr.com/ru/companies/f_a_c_c_t/articles/836264/

Разбор новой атаки кибершпионов Sticky Werewolf с использованием Rhadamanthys Stealer

5 апреля 2024 года на платформу VirusTotal была загружена вредоносная ссылка кибершпионской группы Sticky Werewolf . Внимание аналитиков тогда привлекла новая для группы полезная нагрузка – злоумышленники использовали Rhadamanthys Stealer , стилер с модульной архитектурой, написанный на C++ и выставленный на продажу в сентябре 2022 года. Об этом российские эксперты написали в небольшом Telegram посте , сосредоточив внимание преимущественно на autoit-скрипте. В этой статье Борис Мартынюк , аналитик группы исследования сложных угроз департамента Threat Intelligence компании F.A.C.C.T. и Дмитрий Купин , руководитель Отдела по анализу вредоносного кода F.A.C.C.T. Threat Intelligence, решили уделить чуть больше внимания новому инструменту и на примере еще одной атаки кибершпионов Sticky Werewolf рассказать, чем же так примечателен Rhadamanthys Stealer . Но сначала — небольшое отступление о самой группе. Sticky Werewolf — проукраинская кибершпионская группа, атакующая преимущественно госучреждения и финансовые компании. По данным экспертов F.A.C.C.T. Threat Intelligence, в первом квартале 2024 года Sticky Werewolf провела 21 кибератаку в России, Беларуси и Польше. В качестве первоначального вектора атак группа использует фишинговые рассылки по электронной почте со ссылками на вредоносные файлы, а также такие инструменты, как трояны удаленного доступа Darktrack RAT и Ozone RAT, стилеры Glory Stealer и MetaStealer (вариация RedLine Stealer). Новый инструмент в их арсенале — Rhadamanthys Stealer. 10 апреля 2024 года на платформу VirusTotal была загружена вредоносная ссылка группы Sticky Werewolf . В ходе исследования аналитики получили дополнительные сетевые и файловые индикаторы, а также смогли почти полностью восстановить цепочку атаки. В качестве начального вектора заражения могли выступать целевые фишинговые письма, аналогичные прошлым атакам группы. При переходе по ссылке происходит переадресация на другой ресурс, с которого загружается исполняемый файл, мимикрирующий под PDF, используя двойное расширение.

https://habr.com/ru/companies/f_a_c_c_t/articles/809063/

Кибершпионы из Core Werewolf пытались атаковать российскую военную базу в Армении

Специалисты Threat Intelligence компании F.A.C.C.T. обнаружили на платформе VirusTotal загруженный из Армении (г. Гюмри) вредоносный файл, связанный с группировкой кибершпионов Core Werewolf . Он представляет собой самораспаковывающийся архив 7zSFX, предназначенный для скрытой установки и запуска легитимной программы удаленного доступа - UltraVNC . Предполагаемой целью атаки является 102-я российская военная база. На это указывают следующие факты: — в качестве документа-приманки использовалось ходатайство о якобы представлении к госнаградам, в том числе "Ордену Мужества" военнослужащих, отличившихся в ходе проведения СВО; — вредоносный файл был загружен на VirusTotal из г. Гюмри (Армения), в котором дислоцируется 102-ая российская военная база. Core Werewolf (PseudoGamaredon) — кибершпионская группа, которая активно атакует российские организации, связанные с оборонно-промышленным комплексом, объекты критической информационной инфраструктуры. Впервые были замечены в августе 2021 года. В своих кампаниях группа использует программное обеспечение UltraVNC . Все подробности — в техническом блоге Дмитрия Купина , руководителя отдела по анализу вредоносного кода департамента Threat Intelligence компании F.A.C.C.T.

https://habr.com/ru/companies/f_a_c_c_t/articles/808143/