Неизвестная APT-группировка внедряет трояны в системы российских государственных структур

Неизвестная APT-группировка внедряет трояны в системы российских государственных структур

Жертвами фишинговой кампании стали телеканал RT и Ростех.

Исследователи из Malwarebytes обнаружили неизвестную APT-группировку, организовавшую как минимум четыре кампании целевого фишинга на российские государственные организации с начала спецоперации на Украине. Злоумышленники пытались внедрить RAT-трояны в системы жертв и получить над ними полный контроль.

Быстро рассмотрим каждую фишинговую кампанию:

  • В первой хакеры распространяли вредоносную программу, замаскированную под интерактивную карту Украины (interactive_map_UA.exe).

  • Вторая кампания началась в марте и была направлена на сотрудников телеканала RT. Злоумышленники пытались замаскировать вредоносное ПО под обновление для Log4j, рассылая tar-архив с названием Patch_Log4j.tar.gz.

  • В третьей кампании APT-группировка нацелилась на оборонно-промышленный конгломерат Ростех. Фишинговые сообщения содержали в себе вредоносный файл build_rosteh4.exe.

  • Четвертая кампания прошла в середине апреля. Злоумышленники использовали в качестве приманки для жертв документ Word с поддельным объявлением о вакансии "Аналитик по стратегии и росту" в нефтегазовой компании Saudi Aramco.

Эксперты не могут точно определить APT-группировку, стоящую за этими фишинговыми кампаниями. Злоумышленники умело маскируются, используя инфраструктуру и методы других хакерских группировок. Однако специалисты смогли обнаружить несколько зацепок:

  • Хакеры использовали C&C серверы компани BL Networks, которые часто используют китайские группировки ;

  • Проанализированное вредоносное ПО очень похоже на ПО Sakula Rat, используемое APT Deep Panda .

Основываясь на текущей информации, эксперты неуверенно приписывают фишинговые кампании китайским хакерам.

Недавно мы писали про то, как китайские хакеры шпионят за Ростехом. Группировка Twisted Panda атаковала холдинговые компании в составе конгломерата как минимум с июня 2021 года, а последняя попытка атаки была замечена в апреле 2022 года.

Кибербезопасность - это просто, если знаешь как.

Подпишись и узнай!