LinkedIn використовується кіберзлочинним угрупованням OilRig для поширення шкідливих даних
LinkedIn використовується кіберзлочинним угрупованням OilRig для поширення шкідливих даних
Кіберзлочинне угрупування OilRig (також відоме як Crambus, APT34, HelixKitten) за останній місяць почало використовувати три нових сімейства шкідливих програм у кампаніях, говориться у звіті FireEye.
OilRig - кіберзлочинне хакерське угруповання. Здебільшого зосереджена на організаціях у фінансовій, урядовій, енергетичній, телекомунікаційній та хімічній сферах.
За словами дослідників, в останній кампанії використовувалося як нове шкідливе програмне забезпечення, так і додаткова інфраструктура. У рамках кампанії зловмисники використали ділову соціальну мережу LinkedIn для доставки шкідливих документів під виглядом співробітника університету Кембриджу. Їхньою метою було завоювати довіру жертв, щоб ті відкрили заражені шкідливими особами. документи.
Перелік нових шкідливих даних включає бекдор TONEDEAF, здатний збирати системну інформацію, завантажувати і завантажувати файли і виконувати довільні shell-команди. Шкідливість обмінюється даними з C&C-сервером за допомогою запитів HTTP GET та POST. Шкідливий код містився у файлі .xls, який поширювався через повідомлення на LinkedIn нібито від працівника Кембриджського університету.
Фахівцям також виявили дві інші шкідливі сімейства — VALUEVAULT та LONGWATCH. Крім того, в рамках кампанії злочинці використовували нову версію інструменту PICKPOCKET для крадіжки облікових даних із браузера. LONGWATCH є кейлоггером, який зберігає інформацію про всі натискання клавіш у файлі log.txt у папці temp у Windows.
VALUEVAULT є скомпільованою Golang-версією інструменту Windows Vault Password Dumper, призначеного для крадіжки облікових даних із браузера. За аналогією з оригінальною версією, VALUEVAULT може отримувати облікові дані зі сховища Windows Vault. Далі інструмент отримує історію браузера для подальшого порівняння збережених у браузері паролів з обліковими даними на відвідуваних жертвами сайтів.
«Ми підозрюємо, що це не останній раз, коли APT34 продемонструвала свої нові інструменти. Злочинці часто змінюють TTPs (тактики, техніки та процедури), щоб уникнути виявлення, особливо якщо ціль вкрай важлива. З цих причин ми рекомендуємо організаціям зберігати пильність щодо захисту», — підсумували фахівці FireEye.
