04/04/24
Agent Tesla — это продвинутый троян для удалённого доступа (RAT), специализирующийся на краже и проникновении конфиденциальной информации с заражённых машин. Недавно была обнаружена кампания этого вредоносного ПО, нацеленная на организации в США и Австралии, начавшаяся 7 ноября 2023 года. За кампанией стоят два киберпреступника, известных под псевдонимами «Bignosa» и «Gods», использующие фишинговые кампании для распространения вредоносного ПО.
При помощи спам-рассылок с приманками в виде бизнес-предложений злоумышленники распространяли Agent Tesla, замаскированный под невинные вложения, пишет Securitylab. В ходе расследования экспертам Check Point удалось отследить активность этих злоумышленников и определить, что основной из них, «Bignosa», является частью группы, занимающейся вредоносными кампаниями и фишингом, причём основная масса серверов, используемых для распространения Agent Tesla, находится под контролем именно этой группы.
Особое внимание в отчёте Check Point было уделено инструменту Cassandra Protector, который использовался для маскировки вредоносного кода и его преобразования в ISO-образы, увеличивая таким образом шансы на успешное заражение целевых машин. Этот инструмент обладает функциями обхода антивируса, эмуляции, а также может прописывать себя в планировщик задач Windows для обеспечения постоянства.
Тщательный анализ связанной с «Bignosa» и «Gods» информации, включающей IP-адреса, почтовые адреса, телефонные номера, криптотранзакции, профили в Jabber, Skype, LinkedIn и Instagram*, так или иначе мелькающих в Сети, помогли исследователям раскрыть реальные личности злоумышленников.
Первый, «Bignosa», оказался жителем Кении по имени Носахаре Годсон, имеющим обширную историю использования Agent Tesla и проведения фишинговых атак. Второй, Кингсли Фредрик, известный под псевдонимами «Gods» и «Kmarshal», имеет нигерийское происхождение, однако учился в турецком университете. Хакер был связан с фишинговыми и вредоносными кампаниями начиная с марта 2023 года. Страна его текущего местонахождения доподлинно неизвестна.
Изначально специалисты рассматривали сотрудничество между хакерами исключительно в форме ролевой модели «ученик-наставник», так как «Gods» довольно часто помогал «Bignosa» в настройке экземпляров Agent Tesla, а также в удалении остатков заражения с компьютера после непреднамеренного запуска. Тем не менее, более поздние результаты исследования свидетельствуют о более тесном сотрудничестве между хакерами — они действовали как единая группа.
