Группировка OilRig использует соцсеть LinkedIn для распространения вредоносов
23/07/19
Киберпреступная группировка OilRig (также известная как Crambus, APT34, HelixKitten) за последний месяц начала использовать три новых семейства вредоносных программ в кампаниях, говорится в отчете FireEye.
OilRig — киберпреступная хакерская группировка, предположительно связанная с правительством Ирана. В основном сосредоточена на организациях в финансовой, правительственной, энергетической, телекоммуникационной и химической сферах на Ближнем Востоке.
По словам исследователей, в последней кампании использовалось как новое вредоносное ПО, так и дополнительная инфраструктура. В рамках кампании злоумышленники использовали деловую социальную сеть LinkedIn для доставки вредоносных документов под видом сотрудника Кембриджского университета. Их целью было завоевать доверие жертв, чтобы те открыли зараженные вредоносами документы.
Перечень новых вредоносов включает бэкдор TONEDEAF, способный собирать системную информацию, скачивать и загружать файлы и выполнять произвольные shell-команды. Вредонос обменивается данными с C&C-сервером с помощью запросов HTTP GET и POST. Вредоносный код содержался в файле .xls, который распространялся через сообщение на LinkedIn якобы от работника Кембриджского университета.
Специалистам также обнаружили два других вредоносных семейства — VALUEVAULT и LONGWATCH. Кроме того в рамках кампании преступники использовали новую версию инструмента PICKPOCKET для кражи учетных данных из браузера. LONGWATCH представляет собой кейлоггер, который сохраняет информацию о всех нажатиях клавиш в файле log.txt в папке temp в Windows.
VALUEVAULT представляет собой скомпилированную Golang-версию инструмента Windows Vault Password Dumper, предназначенного для кражи учетных данных из браузера. По аналогии с оригинальной версией, VALUEVAULT может извлекать учетные данные из хранилища Windows Vault. Далее инструмент извлекает историю браузера для последующего сравнения сохраненных в браузере паролей с учетными данными на посещаемых жертвами сайтов.
«Мы подозреваем, что это не последний раз, когда APT34 продемонстрировала свои новые инструменты. Преступники часто меняют TTPs (тактики, техники и процедуры), чтобы избежать обнаружения, особенно если цель крайне важна. По этим причинам мы рекомендуем организациям сохранять бдительность касательно своей защиты», — подытожили специалисты FireEye.