SEKOIA раскрывает инфраструктуру шпионской кампании Lycantrox
Какие страны были уличены в неправомерной слежке за своими гражданами?
В прошлом месяце исследователи Citizen Lab опубликовали отчёт о применении хакерами шпионского программного обеспечения Predator, разработанного компанией Cytrox, против iPhone бывшего египетского депутата Ахмеда Эльтантави.
В августе и сентябре этого года Эльтантави был подвергнут атаке с перенаправлением на вредоносные веб-страницы, для реализации которых использовались уязвимости нулевого дня в iOS ( CVE-2023-41991 , CVE-2023-41992 , CVE-2023-41993 ) для установки шпионского ПО Predator. Как полагается, данная атака преследовала политические мотивы.
В прошлом компания Cytrox уже привлекала к себе внимание применением Predator для целевых атак на общественных деятелей. Тогда как Citizen Lab , так и ныне запрещённая Meta *, изучали деятельность Cytrox, а также её материнской компании Intellexa.
В декабре 2021 года специалистами компании SEKOIA также был выпущен отчёт , исследовавший возможные связи между клиентами Cytrox (отслеживаемых в рамках операции Lycantrox) и клиентами Candiru (отслеживаемых в рамках операции Karkadann). Обе шпионские кампании использовали схожую инфраструктуру для компрометации своих целей.
Совсем недавно, исследуя инфраструктуру, используемую Lycantrox, эксперты SEKOIA выявили множество доменов, связанные с этой группой. В качестве примера можно привести «bitshort[.]info», замаскированный под сервис сокращения ссылок, и «elwatnanews[.]com», который притворяется новостным ресурсом.
Всего исследователями было обнаружено 121 уникальное доменное имя, с высокой степенью уверенности связанное с инфраструктурой Lycantrox. Многие из этих доменов имеют связи с серверами, которые принимают платежи в криптовалюте и, так или иначе, связаны с киберпреступной деятельностью.
Подробный анализ угрозы показал, что серверы, связанные с выявленными доменами, располагаются в Мадагаскаре, Индонезии, Казахстане и Анголе. Как полагают исследователи, они используются для кибершпионажа местными правительственными службами за различными политическими деятелями, активистами и журналистами.
Эксперты предоставили в своём отчёте все выявленные индикаторы компрометации шпионской кампании Lycantrox и пообещали продолжить отслеживать действия кибернаемников из Cytrox и Intellexa, публично освещая их деятельность и раскрывая инфраструктуру.
* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.
Если вам нравится играть в опасную игру, присоединитесь к нам - мы научим вас правилам!