Актор APT DeathStalker націлений на компанії на ринку форекс і криптовалют. Набір інструментів "VileRAT" із технологіями ухилення та скритності поширюється за допомогою фішингу. Компанії в Німеччині також постраждали від атак.
Загрозливий актор DeathStalker оновив свій набір інструментів «VileRAT» для захисту від технологій і скритності, щоб атакувати криптовалютні та обмінні компанії, показує нещодавній аналіз Kaspersky. Атаковані організації розташовані в Болгарії, Кіпрі, Німеччині, Кувейті, Мальті, Об'єднаних Арабських Еміратах, Росії та Гренадинах.
Hack-for-Hire APT актор
DeathStalker — найнятий актор APT, діяльність якого Касперський відстежує з 2018 року. Поки що він націлений насамперед на юридичні фірми та організації у фінансовому секторі; напади не були ні політично, ні фінансово мотивованими. Експерти Kaspersky вважають, що DeathStalker діє як своєрідна група найманців, яка пропонує спеціалізовані хакерські послуги або послуги фінансової розвідки. У середині 2020 року Kaspersky зміг ідентифікувати нову та дуже уникливу інфекцію на основі імплантату Python «VileRAT». Відтоді експерти уважно стежили за діяльністю гравця та відзначили, що у 2022 році він інтенсивно зосереджений на валютних (FOREX) і криптовалютних компаніях по всьому світу.
VileRAT зазвичай розгортається після складного ланцюга зараження, який починається з фішингових електронних листів. Цього літа зловмисники також використовували чат-боти, вбудовані в публічні веб-сайти постраждалих компаній, щоб надсилати шкідливі документи. Документи DOCX часто позначені ключовими словами «Відповідність» або «Скарга» (і назва цільової компанії) і стверджують, що вони є відповідями на передбачувані запити ідентифікації або повідомлення про проблеми.
Удосконалені інструменти, які маскуються
Кампанія VileRAT відрізняється складністю використовуваних інструментів і величезною шкідливою інфраструктурою, що стоїть за нею (порівняно з раніше задокументованою діяльністю DeathStalker), численними методами обфускації, які використовуються під час зараження, а також безперервною та постійною активністю з 2020 року. Поточна кампанія показує, що DeathStalker доклав чимало зусиль, щоб завоювати та отримати доступ до своїх цілей. Можливі цілі атак варіюються від належної обачності, повернення активів, допомоги в судовому чи арбітражному розгляді до обходу санкцій; пряма фінансова вигода все ще не є його частиною.
VileRaT не виявляє особливого інтересу до конкретних країн; натомість дослідники Kaspersky повідомляють про постраждалі організації в Болгарії, Кіпрі, Німеччині, Кувейті, Мальті, Об’єднаних Арабських Еміратах, Росії та Гренадинах. Визначені організації різного розміру, від новостворених стартапів до визнаних лідерів галузі.
обманювати, маскувати, ховати
«Мета DeathStalker завжди полягала в тому, щоб уникнути виявлення», — пояснює П’єр Делшер, старший дослідник із безпеки Глобальної дослідницько-аналітичної групи Kaspersky (GReAT). «Кампанія VileRAT вивела все на новий рівень. З точки зору складності та обфускації, це, безсумнівно, найвимогливіша кампанія, яку ми бачили від цього гравця. Тактика і прийоми DeathStalker ефективні для нападу на легші цілі. Вони можуть бути недостатньо досвідченими, щоб протистояти такій атаці, можливо, не зробили безпеку головним пріоритетом для своєї організації або часто взаємодіють із третіми сторонами, які ще цього не зробили».
Більше на Kaspersky.com
Про Касперського Kaspersky — міжнародна компанія з кібербезпеки, заснована в 1997 році. Глибокий досвід Kaspersky у сфері аналізу загроз і безпеки служить основою для інноваційних рішень і послуг безпеки для захисту бізнесу, критичної інфраструктури, урядів і споживачів у всьому світі. Комплексне портфоліо безпеки компанії включає провідний захист кінцевих точок і низку спеціалізованих рішень і послуг безпеки для захисту від складних і нових кіберзагроз. Понад 400 мільйонів користувачів і 250.000 XNUMX корпоративних клієнтів захищені технологіями Касперського. Більше інформації про Kaspersky на www.kaspersky.com/