Группировка Mahagrass занимается кибершпионажем в Южной Азии уже 14 лет
30/11/23
Китайская ИБ-компания Qi'anxin обнаружила новую активность группы APT-Q-36 (Mahagrass, Patchwork, Dropping Elephant, Hangover). Группировка, имеющая южноазиатские корни, занимается кибершпионажем с 2009 года, основными целями являются государственные и военные учреждения, а также организации в области энергетики, промышленности, науки и образования, политики и экономики в Азии.
Недавно группировка использовала загрузчик Spyder Loader для распространения трояна удалённого доступа (Remote Access Trojan, RAT) Remcos, который злоумышленники обычно используют для кибершпионажа и кражи конфиденциальной информации, пишет Securitylab.
Spyder, обновлявшийся несколько раз за последние месяцы, обладает способностью загружать и запускать исполняемые файлы с сервера управления и контроля (Command and Control, C2). В частности, было отмечено использование зашифрованных строк для уклонения от статического обнаружения антивирусными программами, а также адаптация формата данных для связи с C2-серверами.
Среди потенциальных целей атаки были упомянуты Пакистан, Бангладеш и Афганистан. Это указывает на высокую целеустремленность и продуманность действий злоумышленников, стремящихся избежать обнаружения и успешно выполнять задачи по сбору разведданных.
Qi'anxin призывает пользователей быть бдительными, избегать подозрительных ссылок в социальных сетях и почтовых вложений неизвестного происхождения, не запускать неизвестные файлы и не устанавливать ПО из ненадежных источников. Кибербезопасность остается важной областью внимания, поскольку группировки подобного рода продолжают развивать свои методы атаки и уклонения от защитных механизмов.
Напомним, что в отчёте по кибербезопасности за третий квартал 2023 года, опубликованном недавно HP Wolf Security, отмечается существенное увеличение числа кампаний, использующих RAT-трояны. Эксперты фиксируют рост использования RAT, которые зачастую скрываются в, казалось бы, легитимных файлах Excel и PowerPoint, прикреплённых к электронным письмам.
Кроме того, в сентябре была выявлена масштабная фишинговая кампания, нацеленная более чем на 40 крупных компаний различных отраслей экономики в Колумбии. Целью злоумышленников была скрытная установка на компьютеры сотрудников организаций Remcos RAT с возможностями для дальнейшей компрометации и получения ценных данных.