Бесплатно Экспресс-аудит сайта:

02.06.2023

Операция «Red Deer»: кибершпионы атакуют израильские организации

Специалисты компании Perception Point обнаружили фишинговую кампанию, нацеленную на множество израильских организаций из различных отраслей, в ходе которой злоумышленники развёртывают RAT -троян AsyncRAT .

Название операции «Красный Олень» выбрано потому, что хакеры подделывали email-адрес Почты Израиля (Israel Post), чей логотип - красный олень. Атака начинается с фишингового письма от имени Почты Израиля с HTML-вложением, который при открытии загружает ISO-образ ( HTML smuggling - Контрабанда HTML). Стоит отметить, что HTML-файл индивидуализирован под стиль Israel Post.

ISO-образ содержит обфусцированный VBS-скрипт, который выполняет 3losh RAT – модифицированную версию вредоносного ПО AsyncRAT – троян для удаленного администрирования.

Основываясь на TTPs и цепочке заражения, эксперты предположили, что операцией «Red Deer» группировка Aggah из Пакистана. Aggah специализируется на атаках на правительственные и корпоративные сайты в США и Европе. Хакеры также занимаются вымогательством, шантажом и кражей данных. Aggah была образована в 2020 году из членов других хакерских групп, таких как Killnet и DarkSide.

Троян AsyncRAT — это троян удаленного доступа (RAT), который позволяет злоумышленникам удаленно контролировать компьютеры в заражённой сети.

AsyncRAT имеет множество функций, таких как:

  • регистрация нажатий клавиш;
  • запись аудио/видео;
  • эксфильтрация данных;
  • удаленное управление рабочим столом;
  • восстановление паролей;
  • запуск удаленной оболочки;
  • доставка полезной нагрузки.

AsyncRAT ранее был использован в различных вредоносных кампаниях и группами хакеров. Так, например, китайская APT-группа BackdoorDiplomacy проводила кибершпионскую кампанию против телекоммуникационной фирмы на Ближнем Востоке. В ходе атак использовалось несколько вредоносных инструментов, в том числе троян AsyncRAT.

Также в 2022 году киберпреступники создали целый проект для продвижения поддельной P2E-игры (play-to-earn) под названием Cthulhu World, который распространяет вредоносное ПО Raccoon Stealer, AsyncRAT и RedLine для кражи паролей жертв.