• Добро пожаловать в Пиратскую Бухту! Чтобы получить полный доступ к форуму пройдите регистрацию!
  • Гость, стой!

    В бухте очень не любят флуд и сообщения без смысловой нагрузки!
    Чтобы не получить бан, изучи правила форума!

    Если хотите поблагодарить автора темы, или оценить реплику пользователя, для этого есть кнопки: "Like" и "Дать на чай".

Новости Хакеры YoroTrooper атакуют СНГ: преступников интересуют учётные данные и прочая конфиденциальная информация

Пригоршня

Штурман
Журналист
Регистрация
26.10.16
Сообщения
2,238
Онлайн
36д 16ч 12м
Сделки
251
Нарушения
0 / 0
Montserrat Semi-Bold.png

Ранее незарегистрированная хакерская группировка под названием YoroTrooper нацелилась на правительственные, энергетические и прочие критически важные организации по всей Европе в рамках кампании кибершпионажа, которая ведется как минимум с июня 2022 года.

«Информация, украденная в результате успешных компрометаций, включает в себя учётные данные из нескольких приложений, историю браузера, cookie-файлы, системную информацию и снимки экрана», — заявили исследователи Cisco Talos.
В число известных целевых стран входят Беларусь, Азербайджан, Таджикистан, Кыргызстан, Туркменистан и другие страны СНГ. Также, по словам исследователей, досталось и правительственным учреждениям Турции.

Специалисты полагают, что к атакам причастен русскоязычный злоумышленник из-за шаблонов виктимологии и наличия фрагментов кириллицы в некоторых имплантах. Однако также было обнаружено, что набор для вторжения YoroTrooper демонстрирует тактическое совпадение с командой PoetRAT, которая, как было задокументировано в 2020 году, использовала приманки на тему коронавируса для нанесения ударов по правительственному и энергетическому секторам в Азербайджане. Страну происхождения PoetRAT исследователям Cisco Talos во время прошлого расследования выявить не удалось.

Цели YoroTrooper по сбору данных реализуются за счёт сочетания обычных вредоносных программ (Ave Maria, LodaRAT, Meterpreter и Stink) с цепочками заражения, использующими вредоносные ярлыки (.lnk) и документы-приманки, завернутые в «.zip» / «.rar» архивы и распространяемые с помощью целевого фишинга.

Вредоносные ярлыки функционируют как простые загрузчики для выполнения файла формата «.hta», полученного с удаленного сервера. После запуска этого файла жертва атаки видит обычный «.pdf» документ, однако в фоне запускается дроппер для доставки похитителя данных. В качестве канала для эксфильтрации данных злоумышленники используют Telegram.

Примечательно использование злоумышленниками LodaRAT, так как это указывает на то, что данное вредоносное ПО используется несколькими разными группировками, несмотря на принадлежность вредоноса к хакерам из Kasablanka. Эта группировка ранее также была замечена в распространении Ave Maria в недавних вредоносных кампаниях, нацеленных на Россию.

Другие вспомогательные инструменты, развернутые YoroTrooper, состоят из обратных оболочек и пользовательского кейлоггера на основе языка C. Кейлоггер способен записывать нажатия клавиш и сохранять их в файл на диске.

«Стоит отметить, что, хотя эта кампания началась с распространения обычных вредоносных программ, таких как Ave Maria и LodaRAT, она значительно расширилась и теперь включает вредоносное ПО на основе Python. Это подчеркивает увеличение усилий, прилагаемых злоумышленниками», — заключили исследователи Cisco Talos.
 
Сверху