Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Группировка OilRig использует соцсеть LinkedIn для распространения вредоносов

23/07/19

oilrigКиберпреступная группировка OilRig (также известная как Crambus, APT34, HelixKitten) за последний месяц начала использовать три новых семейства вредоносных программ в кампаниях, говорится в отчете FireEye.

OilRig — киберпреступная хакерская группировка, предположительно связанная с правительством Ирана. В основном сосредоточена на организациях в финансовой, правительственной, энергетической, телекоммуникационной и химической сферах на Ближнем Востоке.

По словам исследователей, в последней кампании использовалось как новое вредоносное ПО, так и дополнительная инфраструктура. В рамках кампании злоумышленники использовали деловую социальную сеть LinkedIn для доставки вредоносных документов под видом сотрудника Кембриджского университета. Их целью было завоевать доверие жертв, чтобы те открыли зараженные вредоносами документы.

Перечень новых вредоносов включает бэкдор TONEDEAF, способный собирать системную информацию, скачивать и загружать файлы и выполнять произвольные shell-команды. Вредонос обменивается данными с C&C-сервером с помощью запросов HTTP GET и POST. Вредоносный код содержался в файле .xls, который распространялся через сообщение на LinkedIn якобы от работника Кембриджского университета.

Специалистам также обнаружили два других вредоносных семейства — VALUEVAULT и LONGWATCH. Кроме того в рамках кампании преступники использовали новую версию инструмента PICKPOCKET для кражи учетных данных из браузера. LONGWATCH представляет собой кейлоггер, который сохраняет информацию о всех нажатиях клавиш в файле log.txt в папке temp в Windows.

VALUEVAULT представляет собой скомпилированную Golang-версию инструмента Windows Vault Password Dumper, предназначенного для кражи учетных данных из браузера. По аналогии с оригинальной версией, VALUEVAULT может извлекать учетные данные из хранилища Windows Vault. Далее инструмент извлекает историю браузера для последующего сравнения сохраненных в браузере паролей с учетными данными на посещаемых жертвами сайтов.

«Мы подозреваем, что это не последний раз, когда APT34 продемонстрировала свои новые инструменты. Преступники часто меняют TTPs (тактики, техники и процедуры), чтобы избежать обнаружения, особенно если цель крайне важна. По этим причинам мы рекомендуем организациям сохранять бдительность касательно своей защиты», — подытожили специалисты FireEye.

Темы:соцсетиПреступленияAPT-группыFireEyeИран
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...