Жертвами фишинговой кампании стали телеканал RT и Ростех.
Исследователи из Malwarebytes обнаружили неизвестную APT-группировку, организовавшую как минимум четыре кампании целевого фишинга на российские государственные организации с начала спецоперации на Украине. Злоумышленники пытались внедрить RAT-трояны в системы жертв и получить над ними полный контроль.
Быстро рассмотрим каждую фишинговую кампанию:
В первой хакеры распространяли вредоносную программу, замаскированную под интерактивную карту Украины (interactive_map_UA.exe).
Вторая кампания началась в марте и была направлена на сотрудников телеканала RT. Злоумышленники пытались замаскировать вредоносное ПО под обновление для Log4j, рассылая tar-архив с названием Patch_Log4j.tar.gz.
В третьей кампании APT-группировка нацелилась на оборонно-промышленный конгломерат Ростех. Фишинговые сообщения содержали в себе вредоносный файл build_rosteh4.exe.
Четвертая кампания прошла в середине апреля. Злоумышленники использовали в качестве приманки для жертв документ Word с поддельным объявлением о вакансии "Аналитик по стратегии и росту" в нефтегазовой компании Saudi Aramco.
Эксперты не могут точно определить APT-группировку, стоящую за этими фишинговыми кампаниями. Злоумышленники умело маскируются, используя инфраструктуру и методы других хакерских группировок. Однако специалисты смогли обнаружить несколько зацепок:
Хакеры использовали C&C серверы компани BL Networks, которые часто используют китайские группировки ;
Проанализированное вредоносное ПО очень похоже на ПО Sakula Rat, используемое APT Deep Panda .
Основываясь на текущей информации, эксперты неуверенно приписывают фишинговые кампании китайским хакерам.
Недавно мы писали про то, как китайские хакеры шпионят за Ростехом. Группировка Twisted Panda атаковала холдинговые компании в составе конгломерата как минимум с июня 2021 года, а последняя попытка атаки была замечена в апреле 2022 года.