Кибергруппировка xHunt атаковала транспортные компании в Персидском заливе

Исследователи из команды Unit 42 компании Palo Alto Networks обнаружили вредоносную кампанию, нацеленную на транспортные и судоходные организации, действующие за пределами Кувейта в Персидском заливе. В рамках кибератак преступники использовали троянское вредоносное ПО.

Группировка получила название xHunt, поскольку разработчики вредоносных инструментов использовали имена персонажей из аниме-сериала Hunter x Hunter. Вооружение преступников включает бэкдоры Sakabota, Hisoka, Netero и Killua. Они используют для связи с C&C-сервером не только HTTP-протокол, но также электронную почту и DNS-туннелирование. Последний метод задействует web-службу Microsoft Exchange (EWS) и украденные учетные данные для создания «черновиков» электронной почты для связи между преступником и вредоносом.

Впервые активность xHunt была зафиксирована в мае нынешнего года, когда был обнаружен вредоносный бинарный файл, установленный в сети одной из жертв в Кувейте. Неизвестно, как именно злоумышленники скомпрометировали компьютеры, но им удалось установить бэкдор Hisoka (версия 0.8), обеспечивающий загрузку дополнительного вредоносного ПО. Одним из них является вредонос под названием Gon, позволяющий сканировать открытые порты на удаленных системах, загружать и скачивать файлы, делать снимки экрана, находить другие системы в сети, выполнять команды и создавать собственную функцию протокола удаленного рабочего стола (Remote Desktop Protocol, RDP).

Во время анализа вредоносного ПО исследователи обнаружили сходство в коде с вредоносным инструментом Sakabota. Специалисты предполагают, что Sakabota является предшественником Hisoka, разработанным тем же автором. Бэкдор Gon также содержит код, используемый в Sakabota, указывая на общего автора.

Индикаторы компрометации, связанные с атаками, были опубликованы в репозитории Unit 42 на GitHub.