Доставка на целевые компьютеры осуществлялась в рамках кампании «работа мечты» с использованием социальной инженерии.
В Для просмотра ссылки Войди
Mandiant заявила, что кластер угроз «многократно пересекается» с длительной операцией, получившей название «Dream Job» («Работа мечты»). Данная вредоносная кампания использует в качестве приманки для компрометации электронные письма, в которых жертвам предлагается трудоустройство в крупные фирмы.
Последние атаки UNC2970 характеризуется первоначальным обращением к потенциальным жертвам уже не через электронную почту, а через социальную сеть Для просмотра ссылки Войди
Создание плацдарма в скомпрометированных средах достигается с помощью Для просмотра ссылки Войди
- TOUCHHIFT — дроппер вредоносных программ, загружающий как кейлоггеры и утилиты для создания скриншотов, так и полнофункциональные бэкдоры.
- TOUCHSHOT — программа, которая делает снимок экрана каждые три секунды.
- TOUCHKEY — кейлоггер, фиксирующий нажатия клавиш и данные из буфера обмена.
- HOOKSHOT — инструмент туннелирования, который подключается через TCP для связи с C2-сервером.
- TOUCHMOVE — загрузчик, предназначенный для расшифровки и выполнения полезной нагрузки на машине.
- SIDESHOW — бэкдор AC/C++, который запускает произвольные команды и обменивается данными через HTTP POST-запросы со своим C2-сервером.
Также сообщается, что участники UNC2970 использовали Microsoft Intune, решение для управления конечными точками, для применения специального скрипта PowerShell, содержащего полезную нагрузку в кодировке Base64.
«Выявленные вредоносные инструменты указывают на продолжающуюся разработку вредоносных программ и развертывание новых инструментов UNC2970», — заявили специалисты Mandiant.
- Источник новости
- www.securitylab.ru