About Teletype
Join
The Legion
@the_legion_ru
хакеры
May 27, 2022

Неизвестная APT-группировка внедряет трояны в системы российских государственных структур

Жертвами фишинговой кампании стали телеканал RT и Ростех.

Исследователи из Malwarebytes обнаружили неизвестную APT-группировку, организовавшую как минимум четыре кампании целевого фишинга на российские государственные организации с начала спецоперации на Украине. Злоумышленники пытались внедрить RAT-трояны в системы жертв и получить над ними полный контроль.

Быстро рассмотрим каждую фишинговую кампанию:

  • В первой хакеры распространяли вредоносную программу, замаскированную под интерактивную карту Украины (interactive_map_UA.exe).
  • Вторая кампания началась в марте и была направлена на сотрудников телеканала RT. Злоумышленники пытались замаскировать вредоносное ПО под обновление для Log4j, рассылая tar-архив с названием Patch_Log4j.tar.gz.
  • В третьей кампании APT-группировка нацелилась на оборонно-промышленный конгломерат Ростех. Фишинговые сообщения содержали в себе вредоносный файл build_rosteh4.exe.
  • Четвертая кампания прошла в середине апреля. Злоумышленники использовали в качестве приманки для жертв документ Word с поддельным объявлением о вакансии "Аналитик по стратегии и росту" в нефтегазовой компании Saudi Aramco.

Эксперты не могут точно определить APT-группировку, стоящую за этими фишинговыми кампаниями. Злоумышленники умело маскируются, используя инфраструктуру и методы других хакерских группировок. Однако специалисты смогли обнаружить несколько зацепок:

  • Хакеры использовали C&C серверы компани BL Networks, которые часто используют китайские группировки;
  • Проанализированное вредоносное ПО очень похоже на ПО Sakula Rat, используемое APT Deep Panda.

Основываясь на текущей информации, эксперты неуверенно приписывают фишинговые кампании китайским хакерам.

Недавно мы писали про то, как китайские хакеры шпионят за Ростехом. Группировка Twisted Panda атаковала холдинговые компании в составе конгломерата как минимум с июня 2021 года, а последняя попытка атаки была замечена в апреле 2022 года.

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!

The Legion
May 27, 2022, 10:35
0 reactions
0 views