Компания Cofense обнаружила новую вредоносную программу под названием Poco RAT, которая является троянцем удаленного доступа, нацеленным на испаноязычных жертв. Он был впервые замечен в начале 2024 года и в основном нацелен на компании горнодобывающего сектора. Poco RAT доставлялся через встроенные ссылки на 7zip-архивы, размещенные на Google Drive. В кампаниях использовались одни и те же ТТП, а большая часть кода вредоносной программы была направлена на антианализ и связь с командно-контрольным центром (C2), загрузку и запуск файлов с ограниченным вниманием к мониторингу или сбору учетных данных.
Poco RAT
Поначалу Poco RAT атаковал компании в секторе горнодобывающей промышленности, но со временем охватил еще три сектора. Несмотря на наличие четырех секторов, большинство кампаний Poco RAT все еще были нацелены на горнодобывающие отрасли. Основным методом доставки вредоносной программы были ссылки на архивы 7zip на Google Drive, встроенные в электронные письма, а также ссылки, встроенные в HTML-файлы или прикрепленные PDF-файлы. Эти методы использовались для обхода защищенных шлюзов электронной почты (SEG).
Большинство писем Poco RAT имели финансовую тематику и были написаны на испанском языке. Электронные письма содержали ссылки на архивы 7zip на Google Drive или предлагали файлы с встроенными ссылками для загрузки архивов. Большинство писем использовали метод доставки через URL-адрес Google Drive, но также были использованы ссылки, встроенные в HTML-файлы или прикрепленные PDF-файлы.
Компания Cofense также обратила внимание на использование обширных метаданных вредоносной программой Poco RAT, что, вероятно, является попыткой обойти антивирусную защиту. Вредоносная программа была классифицирована как троянец удаленного доступа и имела целью получить доступ и контроль над компьютерами испаноязычных жертв.
Indicators of Compromise
IPv4
- 94.131.119.126
IPv4 Port Combinations
- 94.131.119.126:6541
- 94.131.119.126:6542
- 94.131.119.126:6543
