Ранее незарегистрированная хакерская группировка под названием YoroTrooper нацелилась на правительственные, энергетические и прочие критически важные организации в рамках кампании кибершпионажа, которая ведется как минимум с июня 2022 года.
«Информация, украденная в результате успешных компрометаций, включает в себя учётные данные из нескольких приложений, историю браузера, cookie-файлы, системную информацию и снимки экрана», — заявили исследователи Cisco Talos.
В число известных целевых стран входят Беларусь, Азербайджан, Таджикистан, Кыргызстан, Туркменистан и другие страны СНГ. Также, по словам исследователей, досталось и правительственным учреждениям Турции.
Специалисты полагают, что к атакам причастен русскоязычный злоумышленник из-за шаблонов виктимологии и наличия фрагментов кириллицы в некоторых имплантах. Однако также было обнаружено, что набор для вторжения YoroTrooper демонстрирует тактическое совпадение с командой PoetRAT, которая, как было задокументировано в 2020 году, использовала приманки на тему коронавируса для нанесения ударов по правительственному и энергетическому секторам в Азербайджане. Страну происхождения PoetRAT исследователям Cisco Talos во время прошлого расследования выявить не удалось, сообщает Securitylab.
Цели YoroTrooper по сбору данных реализуются за счёт сочетания обычных вредоносных программ (Ave Maria, LodaRAT, Meterpreter и Stink) с цепочками заражения, использующими вредоносные ярлыки (.lnk) и документы-приманки, завернутые в «.zip» / «.rar» архивы и распространяемые с помощью целевого фишинга.
Вредоносные ярлыки функционируют как простые загрузчики для выполнения файла формата «.hta», полученного с удаленного сервера. После запуска этого файла жертва атаки видит обычный «.pdf» документ, однако в фоне запускается дроппер для доставки похитителя данных. В качестве канала для эксфильтрации данных злоумышленники используют Telegram.
Примечательно использование злоумышленниками LodaRAT, так как это указывает на то, что данное вредоносное ПО используется несколькими разными группировками, несмотря на принадлежность вредоноса к хакерам из Kasablanka. Эта группировка ранее также была замечена в распространении Ave Maria в недавних вредоносных кампаниях, нацеленных на Россию.
Другие вспомогательные инструменты, развернутые YoroTrooper, состоят из обратных оболочек и пользовательского кейлоггера на основе языка C. Кейлоггер способен записывать нажатия клавиш и сохранять их в файл на диске.
«Стоит отметить, что, хотя эта кампания началась с распространения обычных вредоносных программ, таких как Ave Maria и LodaRAT, она значительно расширилась и теперь включает вредоносное ПО на основе Python. Это подчеркивает увеличение усилий, прилагаемых злоумышленниками», — заключили исследователи Cisco Talos.