Киберпреступники использовали Pastebin для распространения RAT

Киберпреступники использовали Pastebin для распространения RAT

С целью избежать обнаружения группировка Gaza Cybergang Group1 хранила свой троян на Pastebin.

image

Киберпреступная группировка, уступающая своим собратьям в финансировании и технологиях, ухитрилась запустить политически мотивированную операцию, жертвами которой стали 240 человек в 39 странах.

Речь идет о подразделении группировки Gaza Cybergang, известном как Gaza Cybergang Group1 (другое название MoleRATs). Как сообщает «Лаборатория Касперского», в Gaza Cybergang входят киберпреступники, разговаривающие на арабском языке и преследующие политические мотивы. Сфера их интересов – страны Среднего Востока (в особенности палестинская территория) и Северной Африки.

Gaza Cybergang состоит из трех подразделений – кроме Gaza Cybergang Group1 в нее входят Gaza Cybergang Group2 и Gaza Cybergang Group3. Первая из трех группировок финансируется меньше остальных и использует очень простые техники. Как правило, для заражения компьютеров трояном для удаленного доступа (или несколькими) она использует Pastebin. Яркий пример – операция SneakyPastes.

В ходе операции злоумышленники использовали фишинг и делили атаку на несколько связанных между собой этапов. Для того чтобы избежать обнаружения и продлить срок действия C&C-сервера, Gaza Cybergang Group1 хранила свое вредоносное ПО в публичных сервисах Pastebin, Mailimg, Github, dev-point.co, a.pomf.cat и upload.cat.

Эксперты ЛК обнаружили несколько закладок, использовавших PowerShell, VBS, JS и .NET для получения персистентности на зараженной системе. Вредоносным ПО, загружаемым на завершающем этапе атаки, является троян для удаленного доступа (RAT). Вредонос собирает документы в форматах PDF, DOC, DOCX, XLS и XLSX, компрессирует их, шифрует и отправляет на C&C-сервер.

Операция началась в конце 2018-го и продолжалась в начале 2019 года. Чаще всего жертвами SneakyPastes становились посольства, государственные и образовательные учреждения, СМИ, журналисты, активисты, политические партии и отдельные политики, организации здравоохранения и банки. В настоящее время операция завершена, а часть ее инфраструктуры отключена общими усилиями ЛК и правоохранительных органов.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle