2022 декабря Trend Micro обнаружили подозрительный исполняемый файл (обнаруженный компанией Trend Micro как Trojan.MSIL.REDCAP.AD), который был сброшен и запущен на нескольких машинах. Наше расследование позволило связать эту атаку с группой передовых постоянных угроз (APT) APT34, а ее основной целью является кража учетных данных пользователей. Даже в случае сброса или смены пароля вредоносная программа способна отправить новые учетные данные субъектам угрозы.
Более того, проанализировав развернутый вариант бэкдора, Trend Micro обнаружили, что вредоносная программа способна использовать новую технику эксфильтрации - злоупотребление скомпрометированными учетными записями почтовых ящиков для отправки украденных данных из внутренних почтовых ящиков на внешние почтовые ящики, контролируемые злоумышленниками. Хотя эта техника не нова, это первый случай, когда APT34 использовала ее для развертывания своей кампании. После проведенного анализа можно с большой долей вероятности утверждать, что данная кампания является лишь небольшой частью более крупной цепочки развертываний.
Indicators of Compromise
Emails
- ciara.stoneburner@proton.me
- earl.butler945@gmail.com
- jaqueline.herrera@proton.me
- kathryn.firkins@proton.me
- marsha.fischer556@gmail.com
- susan.potts454@proton.me
MD5
- ab25014c3d6f77ec5880c8f9728be968
SHA1
- 0e94daa4f2f168418cf352b76ef28d0376c76484
SHA256
- 1f47770cc42ac8805060004f203a5f537b7473a36ff41eabb746900b2fa24cc8
- 5ed7ebc339af6ca6a5d1b9b45db6b3ae00232d9ccd80d5fcadf7680320bd4e6b
- 827366355c6429a7fe12d111e240c5bcec3ed61e717fb84ea8b771672dd1f88e