Новости Check Point сорвала маски с хакеров, ответственных за вредоносную кампанию Agent Tesla

NewsMaker

I'm just a script
Премиум
13,857
20
8 Ноя 2022
Кем оказались таинственные «Gods» и «Bignosa», и как исследователям удалось их вычислить?


zoij9d2e5b1ut2tw9gpnl0glykw1ruzs.jpg


Недавнее Для просмотра ссылки Войди или Зарегистрируйся проведённое специалистами компании Check Point , проливает свет на тёмную сторону киберпространства, раскрывая деятельность и личности злоумышленников, использующих вредоносное ПО Agent Tesla .

Agent Tesla — это продвинутый троян для удалённого доступа ( RAT ), специализирующийся на краже и проникновении конфиденциальной информации с заражённых машин. Недавно была обнаружена кампания этого вредоносного ПО, нацеленная на организации в США и Австралии, начавшаяся 7 ноября 2023 года. За кампанией стоят два киберпреступника, известных под псевдонимами «Bignosa» и «Gods», использующие фишинговые кампании для распространения вредоносного ПО.

При помощи спам-рассылок с приманками в виде бизнес-предложений злоумышленники распространяли Agent Tesla, замаскированный под невинные вложения. В ходе расследования экспертам Check Point удалось отследить активность этих злоумышленников и определить, что основной из них, «Bignosa», является частью группы, занимающейся вредоносными кампаниями и фишингом, причём основная масса серверов, используемых для распространения Agent Tesla, находится под контролем именно этой группы.

Особое внимание в отчёте Check Point было уделено инструменту Cassandra Protector, который использовался для маскировки вредоносного кода и его преобразования в ISO-образы, увеличивая таким образом шансы на успешное заражение целевых машин. Этот инструмент обладает функциями обхода антивируса, эмуляции, а также может прописывать себя в планировщик задач Windows для обеспечения постоянства.

Тщательный анализ связанной с «Bignosa» и «Gods» информации, включающей IP-адреса, почтовые адреса, телефонные номера, криптотранзакции, профили в Jabber, Skype, LinkedIn и Instagram*, так или иначе мелькающих в Сети, помогли исследователям раскрыть реальные личности злоумышленников.

Первый, «Bignosa», оказался жителем Кении по имени Носахаре Годсон, имеющим обширную историю использования Agent Tesla и проведения фишинговых атак. Второй, Кингсли Фредрик, известный под псевдонимами «Gods» и «Kmarshal», имеет нигерийское происхождение, однако учился в турецком университете. Хакер был связан с фишинговыми и вредоносными кампаниями начиная с марта 2023 года. Страна его текущего местонахождения доподлинно неизвестна.


fo6xeujxy1nbnuwt5l0o2bjbirsfci91.png


Изначально специалисты рассматривали сотрудничество между хакерами исключительно в форме ролевой модели «ученик-наставник», так как «Gods» довольно часто помогал «Bignosa» в настройке экземпляров Agent Tesla, а также в удалении остатков заражения с компьютера после непреднамеренного запуска. Тем не менее, поздние результаты исследования свидетельствуют о более тесном сотрудничестве между хакерами и свидетельствуют о том, что они действовали как группа.

Таким образом, многочисленные следы, оставленные хакерами в сети, позволили исследователям раскрыть их личности, воссоздать их действия, а также заглянуть в их повседневную деятельность. Как оказалось, даже крошечные и неважные фрагменты данных могут подвести итог общей картине и раскрыть правду, которую киберпреступники предпочли бы скрыть.


fj67a21daltis689b2e1qhusjhvosyyj.png


Подробные карты цифровых следов для обоих хакеров

Специалисты Check Point заявляют, что тесно сотрудничали с правоохранительными органами при проведении своего расследования, поэтому можно с уверенностью сказать, что это лишь дело времени, когда хакерам выдвинут официальные обвинения, найдут и арестуют.

Это исследование подчёркивает важность бдительности в сфере кибербезопасности и демонстрирует, как тщательный анализ цифровых следов может помочь в идентификации угроз.

Что же касательно Agent Tesla, для минимизации рисков заражения этим и подобным вредоносным ПО рекомендуется своевременно обновлять операционные системы и приложения, быть осторожными с неожиданными электронными письмами и усиливать свою осведомлённость о киберугрозах.

Как сообщается, Check Point продолжит активно мониторить деятельность киберпреступников и сотрудничать с правоохранительными органами для предотвращения будущих атак.

<span style="font-size: 9pt;">* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.</span>
 
Источник новости
www.securitylab.ru

Похожие темы