Хакеры атакуют компании США и Германии, предварительно проверяя – стоит ли начинать взлом.
Новая группировка, отслеживаемая как TA886, атакует организации в США и Германии с помощью новых специализированных вредоносных программ для шпионажа и кражи данных. Об этом Для просмотра ссылки Войди
Ранее неизвестная группировка была впервые обнаружена экспертами Proofpoint в октябре 2022 года. Хакеры, вероятно, имеют финансовые мотивы, выполняя предварительную оценку взломанных систем, чтобы определить, достаточно ли ценна жертва для дальнейшего вторжения.
Цепочка атак начинается с фишинговых электронных писем, содержащих вложения Microsoft Publisher (.pub) с вредоносными макросами, URL-адреса, ссылающиеся на файлы «.pub» с макросами, или PDF-файлы, содержащие URL-адреса для загрузки опасных файлов Для просмотра ссылки Войди
При нажатии на ссылку запускается многоэтапная цепочка атак, в результате которой загружается и выполняется вредоносное ПО Screenshotter. Этот инструмент делает снимки экрана в формате JPG с компьютера жертвы и отправляет их обратно на сервер злоумышленника, затем киберпреступник вручную изучает эти скриншоты и решает, представляет ли жертва ценность для него.
Эта оценка может включать в себя то, что Screenshotter делает больше скриншотов или сбрасывает дополнительные полезные нагрузки, такие как:
Active Directory[/URL] ) на C2-сервер;[*]Загрузчик вредоносного ПО AHK Bot, который загружает в память Для просмотра ссылки Войди
Rhadamanthys предназначен для кражи:
- криптовалюты из криптокошельков;
- учетных данных и cookie-файлов, хранящихся в веб-браузерах, FTP-клиентах, учетных записях Steam, Telegram и Discord, конфигурациях VPN и почтовых клиентах;
- различных файлов из взломанной системы.
Цепочка атак TA886 Кроме того, по словам экспертов, активность Screenshotter происходит в рабочее время в часовом поясе UTC+2 или UCT+3.
Также анализ кода загрузчика AHK Bot показал, что TA886, скорее всего, является российской группировкой.
Комментарий на русском языке в коде загрузчика AHK Bot Proofpoint не нашёл сходства Для просмотра ссылки Войди
Атаки TA886 все еще продолжаются, и Proofpoint предупреждает, что профилирование Active Directory должно вызывать беспокойство, поскольку оно может скомпрометировать все хосты, присоединенные к домену.
- Источник новости
- www.securitylab.ru