Check Point сорвала маски с хакеров, ответственных за вредоносную кампанию Agent Tesla

Недавнее исчерпывающее исследование, проведённое специалистами компании Check Point, проливает свет на тёмную сторону киберпространства, раскрывая деятельность и личности злоумышленников, использующих вредоносное ПО Agent Tesla.

Agent Tesla — это продвинутый троян для удалённого доступа (RAT), специализирующийся на краже и проникновении конфиденциальной информации с заражённых машин. Недавно была обнаружена кампания этого вредоносного ПО, нацеленная на организации в США и Австралии, начавшаяся 7 ноября 2023 года. За кампанией стоят два киберпреступника, известных под псевдонимами «Bignosa» и «Gods», использующие фишинговые кампании для распространения вредоносного ПО.

При помощи спам-рассылок с приманками в виде бизнес-предложений злоумышленники распространяли Agent Tesla, замаскированный под невинные вложения. В ходе расследования экспертам Check Point удалось отследить активность этих злоумышленников и определить, что основной из них, «Bignosa», является частью группы, занимающейся вредоносными кампаниями и фишингом, причём основная масса серверов, используемых для распространения Agent Tesla, находится под контролем именно этой группы.

Особое внимание в отчёте Check Point было уделено инструменту Cassandra Protector, который использовался для маскировки вредоносного кода и его преобразования в ISO-образы, увеличивая таким образом шансы на успешное заражение целевых машин. Этот инструмент обладает функциями обхода антивируса, эмуляции, а также может прописывать себя в планировщик задач Windows для обеспечения постоянства.

Тщательный анализ связанной с «Bignosa» и «Gods» информации, включающей IP-адреса, почтовые адреса, телефонные номера, криптотранзакции, профили в Jabber, Skype, LinkedIn и Instagram*, так или иначе мелькающих в Сети, помогли исследователям раскрыть реальные личности злоумышленников.

Первый, «Bignosa», оказался жителем Кении по имени Носахаре Годсон, имеющим обширную историю использования Agent Tesla и проведения фишинговых атак. Второй, Кингсли Фредрик, известный под псевдонимами «Gods» и «Kmarshal», имеет нигерийское происхождение, однако учился в турецком университете. Хакер был связан с фишинговыми и вредоносными кампаниями начиная с марта 2023 года. Страна его текущего местонахождения доподлинно неизвестна.

Изначально специалисты рассматривали сотрудничество между хакерами исключительно в форме ролевой модели «ученик-наставник», так как «Gods» довольно часто помогал «Bignosa» в настройке экземпляров Agent Tesla, а также в удалении остатков заражения с компьютера после непреднамеренного запуска. Тем не менее, более поздние результаты исследования свидетельствуют о более тесном сотрудничестве между хакерами — они действовали как единая группа.

Таким образом, многочисленные следы, оставленные киберпреступниками в сети, позволили исследователям раскрыть их личности, воссоздать их действия, а также заглянуть в их повседневную деятельность. Как оказалось, даже крошечные и неважные фрагменты данных могут подвести итог в общей картине и раскрыть правду, которую злоумышленники предпочли бы скрыть.

Подробные карты цифровых следов для обоих хакеров

Специалисты Check Point заявляют, что тесно сотрудничали с правоохранительными органами при проведении своего расследования, поэтому можно с уверенностью сказать, что это лишь дело времени, когда киберпреступникам выдвинут официальные обвинения, найдут и арестуют.

Это исследование подчёркивает важность бдительности в сфере кибербезопасности и демонстрирует, как тщательный анализ цифровых следов может помочь в идентификации угроз.

Что же касательно Agent Tesla, для минимизации рисков заражения этим и подобным вредоносным ПО рекомендуется своевременно обновлять операционные системы и приложения, быть осторожными с неожиданными электронными письмами и усиливать свою осведомлённость о киберугрозах.

Как сообщается, Check Point продолжит активно мониторить деятельность киберпреступников и сотрудничать с правоохранительными органами для предотвращения будущих атак.

* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.