Новости APT-группировка PhaseShifters (Sticky Werewolf) атакует российские компании с помощью стеганографии

  • Автор темы BOOX
  • Дата начала

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.223
Репутация
11.695
Реакции
61.957
RUB
50
Специалисты департамента исследования угроз экспертного центра безопасности Positive Technologies, обнаружили новые сценарии атак, направленные на российские госучреждения, промышленные компании и исследовательские центры.

Жертвами стали десятки организаций. Злоумышленники использовали набирающую популярность технику стеганографии, которая позволяет скрывать вредоносное ПО в пересылаемых изображениях и текстовых файлах.

Positive Technologies: APT-группировка PhaseShifters (Sticky Werewolf) атакует российские компании с помощью стеганографии


Эксперты отмечают, что киберпреступники практически в точности повторяют сценарии атак группировки TA558 — о ней Positive Technologies сообщала в апреле.

По версии специалистов PT ESC, обнаруженные факты атак совершила уже известная группировка, занимающаяся шпионажем, внимание которой направлено на различные отрасли стран Восточной Европы, в том числе на государственные учреждения, сферу экономики и промышленности. Эксперты Positive Technologies атрибутировали атаки как совершенные группировкой PhaseShifters (также она известна под именем Sticky Werewolf).

В своих атаках группировка использует фишинг: злоумышленники отправляют письма якобы от официальных лиц с просьбой ознакомиться с документом и подписать его. В результате на устройства попадает вредоносное ПО, такое как Rhadamanthys, DarkTrack RAT, Meta Stealer и др.

Новые кибератаки начинались с рассылки фишинговых писем с вложениями в виде защищенных паролями архивов, которые содержали вредоносные файлы. В ходе исследования были изучены десятки документов, среди которых встречались, например, резюме или дополнительные соглашения на подпись.

Когда жертвы открывали файлы, на их устройства загружались скрипты, скачивающие изображения — в них с помощью стеганографии была скрыта полезная нагрузка[1]. Эксперты предполагают, что эту технику PhaseShifters могла заимствовать у группировки TA558, которая в настоящее время атакует организации по всему миру. Дальнейший анализ цепочек атак привел исследователей к еще более интересному выводу. Эту же технику и тот же криптер использует UAC-0050 (UAC-0096) — группировка, по данным ряда исследователей, с 2020 года атакующая организации на территории России, Украины, Польши, Белоруссии, Молдовы, стран Прибалтики.

«Мы наблюдаем высокую активность группировки PhaseShifters с весны 2023 года (другие российские исследователи позже назвали ее Sticky Werewolf) и уже тогда заметили интересные детали. Атаки группировки по техникам идентичны цепочкам атак другой группировки — UAC-0050. Более того, атаки этих группировок проходят с небольшим временным промежутком, то есть злоумышленники одинаково атакуют с разницей в несколько недель. — На данный момент мы склоняемся к тому, что UAC-0050 и PhaseShifters — это одна и та же группировка, но подтвердить это можно будет только после более длительного наблюдения».

Специалисты экспертного центра безопасности Positive Technologies рекомендуют пользователям внимательнее подходить к письмам с вложениями, даже если они отправлены от имени известных компаний или государственных организаций. Компаниям же следует пристальнее мониторить сетевой трафик, а также проверять подозрительную активность, связанную с легитимными сервисами, особенно с использованием командных оболочек PowerShell, CMD и сред выполнения сценариев, например WScript.



[1] Полезная нагрузка (payload) — действия, которые на устройстве жертвы выполняет вредоносное ПО.



 
Сверху Снизу