Исследователи ESET выявили активную кампанию, направленную на пользователей Android, проводимую APT-группой Bahamut. Эта кампания активна с января 2022 года, а вредоносные приложения распространяются через поддельный веб-сайт SecureVPN, который предоставляет для загрузки только приложения для Android. Обратите внимание, что хотя вредоносное ПО, используемое в этой кампании, использует название SecureVPN, оно никак не связано с законным многоплатформенным программным обеспечением и сервисом SecureVPN.
Bahamut APT
- Используемое приложение в разное время представляло собой троянскую версию одного из двух легальных VPN-приложений, SoftVPN или OpenVPN, которые были перепакованы с помощью шпионского кода Bahamut, который группа Bahamut использовала в прошлом.
- Удалось обнаружить по меньшей мере восемь версий этих вредоносных исправленных приложений с изменениями кода и обновлениями, доступными через сайт распространения, что может означать, что кампания хорошо поддерживается.
- Основной целью модификаций приложений является извлечение конфиденциальных данных пользователей и активный шпионаж за приложениями для обмена сообщениями жертв.
- Цели тщательно выбираются, поскольку после запуска шпионского ПО Bahamut запрашивает ключ активации, прежде чем VPN и шпионские функции могут быть включены. И ключ активации, и ссылка на веб-сайт, скорее всего, отправляются целевым пользователям.
- Неизвестен вектор первоначального распространения (электронная почта, социальные сети, приложения для обмена сообщениями, SMS и т.д.).
APT-группа Bahamut обычно нацелена на юридических и физических лиц на Ближнем Востоке и в Южной Азии, используя в качестве начального вектора атаки спирфишинговые сообщения и поддельные приложения. Bahamut специализируется на кибершпионаже, и ESET считает, что ее целью является кража конфиденциальной информации у своих жертв. Bahamut также называют группой наемников, предлагающей услуги взлома для широкого круга клиентов. Название этому субъекту угроз, который, судя по всему, является мастером фишинга, дала группа журналистских расследований Bellingcat. Bellingcat назвала эту группу в честь огромной рыбы, плавающей в бескрайнем Аравийском море, упомянутой в "Книге воображаемых существ" Хорхе Луиса Борхеса. Бахамут часто описывается в арабской мифологии как невообразимо огромная рыба.
Indicators of Compromise
IPv4
- 104.21.10.79
- 172.67.185.54
Domains
- ft8hua063okwfdcu21pw.de
- thesecurevpn.com
SHA1
- 1a9371b8aead5ba7d309aebe4bffb86b23e38229
- 2e40f7fd49fa8538879f90a85300247fbf2f8f67
- 2fbdc11613a065afbbf36a66e8f17c0d802f8347
- 3144b187edf4309263ff0bcfd02c6542704145b1
- 4f05482e93825e6a40af3dfe45f6226a044d8635
- 79bd0bdfdc3645531c6285c3eb7c24cd0d6b0faf
- 7c49c8a34d1d032606a5e9cddebb33aac86ce4a6
- 976cc12b71805f4e8e49dca232e95e00432c1778
- b54fff5a7f0a279040a4499d5aabce41ea1840fb
- c74b006badbb3844843609dd5811ab2cef16d63b