В ходе вредоносной кампании Operation Spalax хакеры используют три разных RAT-трояна.

Специалисты ИБ-компании ESET раскрыли киберпреступную кампанию, в рамках которой злоумышленники осуществляют кибератаки на правительственные и частные организации в Колумбии. В особенности хакеров интересуют предприятия энергетической и металлургической промышленности.

Исследователи ESET начали отслеживать вредоносную кампанию, получившую название Operation Spalax и продолжающуюся по сей день, во втором полугодии 2020 года, когда им удалось связать как минимум 24 IP-адреса с волной атак на колумбийские предприятия. Эти IP-адреса, вероятнее всего, принадлежат скомпрометированным устройствам, использующимся хакерами как прокси для C&C-серверов.

Атака на целевую организацию начинается традиционным способом – с отправки ей фишингового электронного письма. Темы писем варьируются от повесток в суд до сообщений о блокировке банковских счетов и требований пройти обязательный тест на коронавирус. В некоторых случаях письма рассылались от имени Генеральной прокуратуры или Национального директората по налогам и таможенным сборам.

В письмах содержится PDF-файл со ссылкой на RAR-архив. Если жертва загружает архив, размещенный на OneDrive, MediaFire или в других облачных хранилищах, содержащийся в нем файл запускает вредоносное ПО.

Для развертывания вредоноса хакеры используют большой арсенал загрузчиков и упаковщиков, выполняющих троян для удаленного доступа (RAT) путем внедрения его в легитимный процесс. Всего во вредоносной кампании используется три RAT-трояна. Все они продаются на черном рынке и не были созданы организаторами Operation Spalax.

Первый троян, Remcos, можно купить на киберпреступном форуме всего за $58. Второй, njRAT, известен тем, что вместо C&C-инфраструктуры использует Pastebin. Третий троян – это инструмент для удаленного администрирования с открытым исходным кодом AsyncRAT. Эксперты не выявили никакой особой связи между загрузчиками и троянами, но отметили, что NSIS чаще всего загружает троян Remcos, а упаковщики Agent Tesla и AutoIt – njRAT.

Исследователи также не нашли достаточно подсказок для того, чтобы идентифицировать киберпреступников. Тем не менее, они обнаружили некоторые отсылки к группировке APTC36, также известной как Blind Eagle. Данная APT-группа в 2019 году осуществляла кибератаки на колумбийские организации с целью похищения конфиденциальной информации.

Источник: securitylab