Новости Хакеры YoroTrooper атакуют СНГ: преступников интересуют учётные данные и прочая конфиденциальная информация

Специальный корреспондент
Собака

Собака

Пресс-служба
Команда форума
Private Club
Регистрация
13/10/15
Сообщения
54.919
Репутация
62.740
Реакции
277.126
RUB
0
Под удар попали десятки организаций в Беларуси, Азербайджане, Таджикистане, Туркменистане и Киргизии.
image



Ранее незарегистрированная хакерская группировка под названием YoroTrooper нацелилась на правительственные, энергетические и прочие критически важные организации по всей Европе в рамках кампании кибершпионажа, которая ведется как минимум с июня 2022 года.

«Информация, украденная в результате успешных компрометаций, включает в себя учётные данные из нескольких приложений, историю браузера, cookie-файлы, системную информацию и снимки экрана», — исследователи Cisco Talos.

В число известных целевых стран входят Беларусь, Азербайджан, Таджикистан, Кыргызстан, Туркменистан и другие страны СНГ. Также, по словам исследователей, досталось и правительственным учреждениям Турции.

Специалисты полагают, что к атакам причастен русскоязычный злоумышленник из-за шаблонов виктимологии и наличия фрагментов кириллицы в некоторых имплантах. Однако также было обнаружено, что набор для вторжения YoroTrooper демонстрирует тактическое совпадение с командой PoetRAT, которая, как было задокументировано в 2020 году, использовала приманки на тему коронавируса для нанесения ударов по правительственному и энергетическому секторам в Азербайджане. Страну происхождения PoetRAT исследователям Cisco Talos во время прошлого расследования выявить не удалось.

Цели YoroTrooper по сбору данных реализуются за счёт сочетания обычных вредоносных программ (Ave Maria, LodaRAT, Meterpreter и Stink) с цепочками заражения, использующими вредоносные ярлыки (.lnk) и документы-приманки, завернутые в «.zip» / «.rar» архивы и распространяемые с помощью целевого фишинга.


Цепочка заражения YoroTrooper

Вредоносные ярлыки функционируют как простые загрузчики для выполнения файла формата «.hta», полученного с удаленного сервера. После запуска этого файла жертва атаки видит обычный «.pdf» документ, однако в фоне запускается дроппер для доставки похитителя данных. В качестве канала для эксфильтрации данных злоумышленники используют Telegram.

Примечательно использование злоумышленниками LodaRAT, так как это указывает на то, что данное вредоносное ПО используется несколькими разными группировками, несмотря на принадлежность вредоноса к хакерам из Kasablanka. Эта группировка ранее также была замечена в распространении Ave Maria в недавних вредоносных кампаниях, нацеленных на Россию.

Другие вспомогательные инструменты, развернутые YoroTrooper, состоят из обратных оболочек и пользовательского кейлоггера на основе языка C. Кейлоггер способен записывать нажатия клавиш и сохранять их в файл на диске.

«Стоит отметить, что, хотя эта кампания началась с распространения обычных вредоносных программ, таких как Ave Maria и LodaRAT, она значительно расширилась и теперь включает вредоносное ПО на основе Python. Это подчеркивает увеличение усилий, прилагаемых злоумышленниками», — заключили исследователи Cisco Talos.








 
Сверху Снизу