SecAtor пишет
https://t.center/true_secator:
Исследователи
F.A.C.C.T. сообщают об обнаружении новой угрозы –
FakeTicketer, которая действует как минимум с июня 2024 года, основной мотивацией, предположительно, является шпионаж, а вероятными целями — чиновники и спортивные функционеры.
Под видом билетов на матчи футбольной премьер-лиги России и соревнований по гребле
FakeTicketer рассылал уникальное вредоносное ПО — стилер, RAT и дроппер с возможностью кражи данных из браузеров.
Вариации вредоносного ПО получили название
Zagrebator, указывающее на уникальный артефакт, обнаруженный специалистами компании в ходе исследования.
В первой обнаруженной
F.A.C.C.T. атаке в качестве документа-приманки использовались билеты на матчи футбольной премьер-лиги
России, позже – на соревнования по водной гребле на байдарках и каноэ. Благодаря этой тактике злоумышленник и получил свое наименование.
Впоследствии данные, полученные при анализе ВПО от
FakeTicketer, позволили специалистам вскрыть ещё две атаки с использованием этих вредоносных ПО.
К этому времени злоумышленник сменил маскировку, начал использовать в качестве приманок официальные документы: в октябре это был скан школьного аттестата, в декабре – нормативные акты администрации города
Симферополя Республики Крым.
Предположительно, злоумышленник рассылал электронные письма с вложением в виде архива, имя которого дублирует тему письма. Вложенный архив содержит исполняемый файл с аналогичным именем, связанным с легендой атаки.
Ресерчеры классифицировали исполняемый файл внутри архива как
Zagrebator.Dropper.
Он извлекает в зараженную систему исполняемый файл
(Zagrebator.Stealer или Zagrebator.RAT), а также файл-приманку (BMP или PDF).
После чего создает LNK-файл в startup-директории для закрепления следующей стадии в системе и отображает файл-приманку.
В последней обнаруженной атаке в декабре 2024
Zagrebator.Dropper был незначительно обновлён: помимо описанных выше действий, ВПО также поддерживало сбор и эксфильтрацию данных авторизации из браузеров
Mozilla, Opera, Microsoft Edge, Chrome.
Как отмечают в
F.A.C.C.T., Zagrebator.RAT – это исполняемый файл, написанный на
.NET, который поддерживает следующие команды различные команды с файлами, в том числе на перегрузку системы.
Zagrebator.Stealer также является исполняемым файлом, написанным на
.NET, он имеет функциональные возможности для эксфильтрации файлов из зараженной системы.
Эксфильтрация реализуется по следующему алгоритму: приложение скандирует все диски на ПК и рекурсивно ищет на них файлы документов и баз данных (с расширениями *.anb, *.csv, *.doc, *.docx, *.xls, *.xlsx, *.pdf, *.txt), пропуская системные каталоги, создаёт %AppData%\WMI\[BOT_GUID].dat, в который записывает хэш-суммы найденных файлов.
Затем проверяет по хэш-сумме и, если файл не был ранее обработан, отправляет его содержимое на С2-адрес.
Отправка файла выполняется по HTTPS-протоколу с помощью PUT-запросов.
В целом, злоумышленник использует самописное вредоносное ПО, что позволяет ему быть более скрытным и обходить определённые системы обнаружения в ходе эксплуатации цепочки атаки на зараженной системе, преследуя цель шпионажа и нацеливаясь на госсектор.
Подробности атак и IoC - в
отчете.
