HomeNews* Передове кіберугруповання під назвою Рідкісний перевертень здійснило атаки в Росії та Співдружності Незалежних Держав (CIS), в основному спрямовані на промисловий та освітній сектори.
Зловмисники використовують легітимні сторонні інструменти та скрипти PowerShell замість спеціально створеного шкідливого програмного забезпечення, що ускладнює виявлення.
Фішингові електронні листи доставляють шкідливе ПЗ, приховане всередині архівів з паролем, які розгортають програмне забезпечення для майнінгу криптовалюти та крадуть дані користувачів.
Сотні російських користувачів, в тому числі тих, хто в Білорусі та Казахстані, постраждали. Зловмисники зосередилися на викраденні облікових даних та наданні віддаленого доступу.
Окрема група, DarkGaboon, використовувала програму-вимагач LockBit 3.0 у фінансових атаках, націлених на російські організації з 2023 року.
Кіберугруповання, відоме як «Рідкісний перевертень», було пов'язане з серією кібератак, спрямованих на Росію та інші країни СНД. Зловмисники використовували фішингові електронні листи для доставки шкідливих файлів, маючи на меті отримати віддалений доступ, викрасти облікові дані та встановити програмне забезпечення для майнінгу криптовалюти під назвою XMRig. Ці атаки торкнулися кількох сотень користувачів, у тому числі на промислових підприємствах і технікумах у Росії, Білорусі та Казахстані.
Реклама – за словами дослідників з Kaspersky, група уникає традиційного шкідливого програмного забезпечення, натомість використовуючи командні файли та сценарії PowerShell у поєднанні з законним програмним забезпеченням для виконання своїх атак. «Відмінною особливістю цієї загрози є те, що зловмисники віддають перевагу використанню законного стороннього програмного забезпечення, а не розробці власних шкідливих двійкових файлів», — заявив Касперський. Зловмисники надсилали фішингові електронні листи із захищеними паролем архівами, що містили виконувані файли, часто замасковані під документи, такі як платіжні доручення.
Потрапивши в систему жертви, зловмисники встановили програмне забезпечення на кшталт 4t Tray Minimizer, яке приховує запущені програми в системному треї. Вони також розгорнули інструменти для вимкнення антивірусного програмного забезпечення та надсилання викрадених даних на контрольовані зловмисниками облікові записи електронної пошти за допомогою законної програми Blat. Команда використовувала програмне забезпечення віддаленого робочого столу AnyDesk та заплановані сценарії для підтримки доступу протягом певних годин. «Усі шкідливі функції, як і раніше, залежать від інсталятора, команди та скриптів PowerShell», — сказав Касперський.
Рідкісний перевертень — також відомий як Бібліотекар Гулі та Резет — раніше націлювався на організації в Росії та Україні, з помітною активністю з 2019 року. Їхня стратегія передбачає використання відомих утиліт для ускладнення виявлення та атрибуції.
В окремій статті компанія Positive Technologies повідомила, що фінансово мотивована група DarkGaboon націлена на російські організації з середини 2023 року. Група використовує фішингові електронні листи з архівними файлами або файлами заставок Windows для активації програми-вимагача LockBit 3.0 та інших троянів віддаленого доступу, таких як XWorm і Revenge RAT. Як зазначає дослідник «Positive Technologies**» Віктор Казаков, «DarkGaboon не є клієнтом RaaS-сервісу LockBit і діє незалежно...»* Група використовує публічні версії LockBit і погрожує витоком вкрадених даних в Інтернет.
Ця діяльність підкреслює поточні загрози для організацій у Росії та прилеглих регіонах, коли зловмисники покладаються на звичайні законні програмні інструменти, щоб уникнути виявлення та ускладнити атрибуцію.
Попередні статті:
Ant International, Deutsche Bank партнери для дослідження запуску стейблкоїна
SG Forge від SocGen запускає стейблкоїн у доларах США на Ethereum, Solana
Canary Capital формує траст Делавера для потенційного Injective (INJ) ETF
Жінки втрачають 50 тис. доларів у крипто-шахрайствах після натискання на рекламу PM у Facebook
SEC пропонує 'Інноваційне виключення' для стимулювання ончейн крипто продуктів
Контент має виключно довідковий характер і не є запрошенням до участі або пропозицією. Інвестиційні, податкові чи юридичні консультації не надаються. Перегляньте Відмову від відповідальності , щоб дізнатися більше про ризики.
Рідкісний вовкулака APT завдає удару по Росії з атаками на майнінг крипто та крадіжку даних
HomeNews* Передове кіберугруповання під назвою Рідкісний перевертень здійснило атаки в Росії та Співдружності Незалежних Держав (CIS), в основному спрямовані на промисловий та освітній сектори.
Потрапивши в систему жертви, зловмисники встановили програмне забезпечення на кшталт 4t Tray Minimizer, яке приховує запущені програми в системному треї. Вони також розгорнули інструменти для вимкнення антивірусного програмного забезпечення та надсилання викрадених даних на контрольовані зловмисниками облікові записи електронної пошти за допомогою законної програми Blat. Команда використовувала програмне забезпечення віддаленого робочого столу AnyDesk та заплановані сценарії для підтримки доступу протягом певних годин. «Усі шкідливі функції, як і раніше, залежать від інсталятора, команди та скриптів PowerShell», — сказав Касперський.
Рідкісний перевертень — також відомий як Бібліотекар Гулі та Резет — раніше націлювався на організації в Росії та Україні, з помітною активністю з 2019 року. Їхня стратегія передбачає використання відомих утиліт для ускладнення виявлення та атрибуції.
В окремій статті компанія Positive Technologies повідомила, що фінансово мотивована група DarkGaboon націлена на російські організації з середини 2023 року. Група використовує фішингові електронні листи з архівними файлами або файлами заставок Windows для активації програми-вимагача LockBit 3.0 та інших троянів віддаленого доступу, таких як XWorm і Revenge RAT. Як зазначає дослідник «Positive Technologies**» Віктор Казаков, «DarkGaboon не є клієнтом RaaS-сервісу LockBit і діє незалежно...»* Група використовує публічні версії LockBit і погрожує витоком вкрадених даних в Інтернет.
Ця діяльність підкреслює поточні загрози для організацій у Росії та прилеглих регіонах, коли зловмисники покладаються на звичайні законні програмні інструменти, щоб уникнути виявлення та ускладнити атрибуцію.
Попередні статті: