Исследователи из NSFOCUS Security Labs (NSL) обнаружили новую APT-группу Actor240524, нацеленную на азербайджанских и израильских дипломатов с помощью фишинговой кампании 1 июля 2024 года.
Actor240524 APT
Эта кампания была приписана недавно обнаруженной APT-группе, названной NSL Actor240524, которая использовала троянскую программу, обозначенную как ABCloader и ABCsync. Злоумышленники использовали фишинговые письма с вредоносным документом Word, содержащим встроенный макрокод. Когда получатель открывал документ и включал макросы, макрос выполнялся и запускал ABCloader. Этот троянец расшифровывал и выпускал дополнительные вредоносные компоненты, включая ABCsync, который подключался к командно-контрольному серверу (C2).
Основными функциями ABCsync были выполнение удаленных команд, кража данных и модификация файлов в зараженной системе. Чтобы избежать обнаружения, злоумышленники использовали передовые методы антианализа, такие как шифрование API, проверка отладки и обнаружение в песочнице. Связь с сервером C2 была защищена с помощью шифрования AES-256. ABCloader также использовал перехват COM-компонентов для поддержания устойчивости на взломанных системах, заменяя легитимные системные файлы на вредоносные.
Атака была сложной, включала множество уровней обфускации и мер защиты от обнаружения. Анализ, проведенный NSL, показал, что инструменты, тактика и инфраструктура Actor240524 не совпадают ни с одной из известных APT-групп, что указывает на то, что это недавно идентифицированный злоумышленник. Судя по всему, кампания была специально разработана для атаки на дипломатические отношения между Азербайджаном и Израилем с целью кражи конфиденциальной информации. Глобальная система поиска угроз NSL сыграла важную роль в раскрытии этой атаки, что подчеркивает эволюционирующий характер киберугроз. Изощренность атаки позволяет предположить, что Actor240524 является хорошо обеспеченным ресурсами и способным противником.
Indicators of Compromise
URLs
- http://185.23.253.143:36731
MD5
- 1ee73b17111ab0ffb2f62690310f4ada