Операция «Red Deer»: кибершпионы атакуют израильские организации
01/06/23
Специалисты компании Perception Point обнаружили фишинговую кампанию, нацеленную на множество израильских организаций из различных отраслей, в ходе которой злоумышленники развёртывают RAT-троян AsyncRAT.
Название операции «Красный Олень» выбрано потому, что хакеры подделывали email-адрес Почты Израиля (Israel Post), чей логотип - красный олень, поясняет Securitylab. Атака начинается с фишингового письма от имени Почты Израиля с HTML-вложением, который при открытии загружает ISO-образ (HTML smuggling - Контрабанда HTML). Стоит отметить, что HTML-файл индивидуализирован под стиль Israel Post.
ISO-образ содержит обфусцированный VBS-скрипт, который выполняет 3losh RAT – модифицированную версию вредоносного ПО AsyncRAT – троян для удаленного администрирования.
Основываясь на TTPs и цепочке заражения, эксперты предположили, что операцией «Red Deer» группировка Aggah из Пакистана. Aggah специализируется на атаках на правительственные и корпоративные сайты в США и Европе. Хакеры также занимаются вымогательством, шантажом и кражей данных. Aggah была образована в 2020 году из членов других хакерских групп, таких как Killnet и DarkSide.
Троян AsyncRAT — это троян удаленного доступа (RAT), который позволяет злоумышленникам удаленно контролировать компьютеры в заражённой сети.
AsyncRAT имеет множество функций, таких как:
- регистрация нажатий клавиш;
- запись аудио/видео;
- эксфильтрация данных;
- удаленное управление рабочим столом;
- восстановление паролей;
- запуск удаленной оболочки;
- доставка полезной нагрузки.
AsyncRAT ранее был использован в различных вредоносных кампаниях и группами хакеров. Так, например, китайская APT-группа BackdoorDiplomacy проводила кибершпионскую кампанию против телекоммуникационной фирмы на Ближнем Востоке. В ходе атак использовалось несколько вредоносных инструментов, в том числе троян AsyncRAT.
Также в 2022 году киберпреступники создали целый проект для продвижения поддельной P2E-игры (play-to-earn) под названием Cthulhu World, который распространяет вредоносное ПО Raccoon Stealer, AsyncRAT и RedLine для кражи паролей жертв.