По данным сайта SecurityWeek со ссылкой на исследование Palo Alto Networks, APT-группировка OilRig продолжает атаки на правительственные учреждения и организации Ближнего Востока. Киберпреступники используют фишинговые спам-рассылки, чтобы установить бэкдор QUADAGENT на компьютер жертвы.

На счету команды хакеров, также известной как APT34 и Helix Kitten, несколько кампаний, первая из которых датируется 2015 годом. Мошенники эксплуатируют уязвимости пакета Microsoft Office и других программ для размещения на целевом устройстве шпионских бэкдоров. Новый всплеск активности OilRig пришелся на май и июнь этого года — киберпреступники усовершенствовали методы нападения и взяли на вооружение новый вариант зловреда.

Исследователи сообщают о трех целенаправленных фишинговых рассылках, осуществленных от имени одного из правительственных агентств, чей аккаунт, скорее всего, был взломан. В двух случаях письма были направленны по адресам ближневосточной технологической компании и содержали исполняемый файл, устанавливающий бэкдор QUADAGENT. Вредоносная программа скрытно создавала задачу в списке автозапуска, после чего пыталась связаться с командным сервером через HTTPS, HTTP или DNS-туннелирование.

Третья волна писем была нацелена на неназванное правительственное учреждение и содержала PE-файл, созданный при помощи фреймворка .NET. При запуске вредоносная программа демонстрировала фальшивое сообщение об ошибке, чтобы усыпить бдительность жертвы. Скрипт продолжал работу в фоновом режиме и также загружал на устройство QUADAGENT.

Еще один образец полезной нагрузки представлял собой файл Word с вредоносным макросом. Он имитировал служебный запрос Office для отображения содержимого документа, но, как и в случае с PE-файлом, лишь отвлекал внимание пользователя на время установки бэкдора.

Все три варианта вредоносного содержимого, а также адреса командных серверов указывают на предыдущие атаки OilRig. Злоумышленники лишь слегка изменили и обфусцировали код по сравнению с кампаниями, выявленными ранее.

Как отмечают эксперты, ранее киберпреступники устанавливали на компьютер жертвы бэкдор POWRUNNER и зловреды эксплойт-пака POWBAT. По мнению исследователей, группировка занимается шпионажем за государственными и частными организациями Ближнего Востока.

Пока OilRig не взяли на себя ответственность за новые атаки. В регионе действует несколько киберкриминальных групп, которые могут иметь отношение к подобным кампаниям. Так, в сентябре 2017 года стало известно о вредоносной активности команды APT33, нацеленной на предприятия в США, Саудовской Аравии и Южной Кореи. Тогда злоумышленники также использовали фишинговые письма для установки бэкдоров и дальнейшего шпионажа за жертвами.

Категории: Аналитика, Главное, Хакеры