24 июня и 2 июля 2024 года китайский кибер-актер APT17, также известный как "DeputyDog", осуществил две целевые атаки на итальянские компании и правительственные учреждения с использованием вредоносного ПО Rat 9002 в бездисковым режиме.
DeputyDog (APT17)
В первой кампании 24 июня использовался документ Office, а во второй - ссылка. Обе кампании предлагали жертвам установить пакет Skype for Business по ссылке, схожей с итальянским правительственным доменом, чтобы получить вариант Rat 9002.
Вторая кампания, проведенная 2 июля, использовала прямую ссылку на вредоносный URL. У сайта был вид Facebook'а, где жертве предлагалось загрузить настроенный пакет установки MSI для Skype for Business. Однако на самом сайте также присутствовала другая легитимная ссылка, которая, скорее всего, была украдена или перехвачена в результате предыдущей атаки.
После перехода по ссылке вредоносного URL загружался пакет MSI с некоторыми интересными файлами, включая оригинальный MSI-пакет для установки Skype for Business, vcruntime.jar, vcruntime.vbs и vcruntime.bin. При установке SkypeMeeting.msi запускалось Java-приложение с использованием VBS-скрипта, которое в свою очередь расшифровывало и исполняло шеллкод из файла vcruntime.bin. Расшифрованный шеллкод распаковывал и выполнял RAT 9002.
RAT 9002 был обнаружен в виде модульного вредоносного ПО с возможностью загружать дополнительные бездисковые плагины. Анализ образца показал наличие следующих дополнительных функций: захвата экрана, выполнение программ и деинсталляция.
Вариант RAT 9002 имеет значение "20240124" в качестве индикатора даты, что указывает на активное развитие вредоносной программы в 2024 году, несмотря на ее давность.
Эти целевые атаки и использование RAT 9002 свидетельствуют о продолжающейся активности группы APT17 и их стремлении к получению конфиденциальной информации и нанесению ущерба итальянским компаниям и правительству.
Indicators of Compromise
IPv4
- 137.74.76.92
- 23.218.225.10
Domains
- meeting.equitaligaiustizia.it
- themicrosoftnow.com
SHA256
- 28808164363d221ceb9cc48f7d9dbff8ba3fc5c562f5bea9fa3176df5dd7a41e
- c0f93f95f004d0afd4609d9521ea79a7380b8a37a8844990e85ad4eb3d72b50c
- caeca1933efcd9ff28ac81663a304ee17bbcb8091d3f9450a62c291fec973af5
- d6b348976b3c3ed880dc41bb693dc586f8d141fbc9400f5325481d0027172436
- de19e0163af15585c305f845b90262aee3c2bdf037f9fc733d3f1b379d00edd0
- e024fe959022d2720c1c3303f811082651aef7ed85e49c3a3113fd74f229513c
