В последние месяцы Kaspersky Lab обнаружили всплеск фишинговых кампаний, использующих вредоносные ZIP-архивы, содержащие файлы JScript, замаскированные под деловые запросы.
Mustard Tempest APT
Эти письма, начавшиеся примерно в марте 2023 года, в основном направлены на частных пользователей, ритейлеров и сервисные компании, преимущественно в России. Кампания, получившая название «Horns&Hooves», ловко имитирует законную корреспонденцию от реальных компаний, используя убедительные названия файлов вроде «Запрос на покупку» или «Запрос на коммерческое предложение».
Злоумышленники неоднократно меняли свою тактику: ранние версии вредоносного ПО использовали HTA-файлы, а более поздние перешли на JS-скрипты. Вредоносная программа часто содержит документ-обманку, например изображение PNG или текстовый файл, чтобы атака выглядела легитимной. Основной полезной нагрузкой является инструмент удаленного администрирования под названием NetSupport RAT, который позволяет злоумышленникам удаленно управлять зараженными системами. Несколько экземпляров из этой кампании также распространяли BurnsRAT.
NetSupport RAT распространяется через мошеннические веб-сайты и поддельные обновления. После установки вредоносная программа связывается с серверами злоумышленников для загрузки дополнительных вредоносных файлов. Со временем злоумышленники усовершенствовали свои методы, внедряя вредоносную программу непосредственно в скрипты, чтобы избежать обнаружения.
По данным Kaspersky Lab, кампания, по-видимому, связана с группой TA569 (Mustard Tempest). Эта группа известна тем, что продает доступ к взломанным системам в даркнете. В зависимости от покупателя, украденные данные могут привести к чему угодно - от кражи до атак с выкупом. Эволюция кампании и переход к более автономной доставке вредоносного ПО свидетельствуют о стремлении избежать обнаружения и добиться максимального эффекта от атаки.
Indicators of Compromise
Domains
- gribidi2.com
- labudanka1.com
- labudanka2.com
- shetrn2.com
- xoomep1.com
- xoomep2.com
MD5
- 051552b4da740a3af5bd5643b1dc239a
- 0fea857a35b972899e8f1f60ee58e450
- 12ab1bc0989b32c55743df9b8c46af5a
- 17a78f50e32679f228c43823faabedfd
- 1b41e64c60ca9dfadeb063cd822ab089
- 20014b80a139ed256621b9c0ac4d7076
- 29362dcdb6c57dde0c112e25c9706dcf
- 327a1f32572b4606ae19085769042e51
- 34eb579dc89e1dc0507ad646a8dce8be
- 3e86f6fc7ed037f3c9560cc59aa7aacc
- 5f4284115ab9641f1532bb64b650aad6
- 63647520b36144e31fb8ad7dd10e3d21
- 67677c815070ca2e3ebd57a6adb58d2e
- 8096e00aa7877b863ef5a437f55c8277
- 882f2de65605dd90ee17fb65a01fe2c7
- ae4d6812f5638d95a82b3fa3d4f92861
- b03c67239e1e774077995bac331a8950
- b3bde532cfbb95c567c069ca5f90652c
- b9956282a0fed076ed083892e498ac69
- ba69cc9f087411995c64ca0d96da7b69
- e760a5ce807c756451072376f88760d7
- edfb8d26fa34436f2e92d5be1cb5901b
