- Регистрация
- 26.10.16
- Сообщения
- 2,233
- Онлайн
- 38д 2ч 13м
- Сделки
- 251
- Нарушения
- 0 / 0
Как сообщается, кампания стартовала в ноябре 2022 года и знаменовала собой первый случай, когда хакеры, стоящие за данной атакой, расширили границы своей деятельности за пределы Азербайджана. Ранее они атаковали правозащитные организации, диссидентов и независимые азербайджанские СМИ.
В атаке не обошлось без пресловутой социальной инженерии. Отправной точкой стал самораспаковывающийся «.scr»-архив с кликбейтным названием. Архив имитирует PDF-файл и имеет соответствующий значок. Запуск предполагаемого «документа» открывает файл-приманку, который в фоновом режиме распаковывает ещё несколько файлов полезной нагрузки и выполняет вредоносный код, встроенный в обычное «.png»-изображение средствами AutoIt-скрипта.
OxtaRAT позволяет киберпреступникам отправлять вредоносные команды и файлы, собирать конфиденциальную информацию, проводить разведку и наблюдение с помощью веб-камеры. Впервые вредонос был использован ещё в июне 2021 года, хотя и со значительно урезанной функциональностью. Это указывает на то, что разработчики данного вредоносного софта постоянно совершенствуют его.
По сравнению с предыдущими кампаниями с использованием OxtaRAT, последняя ноябрьская кампания представляет изменения в цепочке заражения, улучшенную операционную безопасность и новые функциональные возможности для улучшения способов кражи данных жертвы.
Специалисты CheckPoint дали этой вредоносной кампании название «Тихий Дозор», но не упомянули название, под которым отслеживают данную хакерскую группировку. Развитие вредоноса указывает на то, что злоумышленники готовятся расширить свой основной вектор атаки, которым в настоящее время является социальная инженерия, на атаки инфраструктурные, затрагивающие по большей части корпоративные среды, нежели отдельных пользователей.
