Father
Professional
- Messages
- 2,602
- Reaction score
- 757
- Points
- 113
Была замечена "многогранная кампания", использующая законные сервисы, такие как GitHub и FileZilla, для доставки множества вредоносных программ-воров и банковских троянов, таких как Atomic (он же AMOS), Vidar, Lumma (он же LummaC2) и Octo, выдавая себя за заслуживающее доверия программное обеспечение, такое как 1Password, Bartender 5 и Pixelmator Pro.
"Наличие нескольких вариантов вредоносного ПО предполагает широкую кроссплатформенную стратегию таргетинга, в то время как перекрывающаяся инфраструктура C2 указывает на централизованную настройку командования, что, возможно, повышает эффективность атак", - говорится в отчете Insikt Group из Recorded Future.
Компания по кибербезопасности, отслеживающая активность под псевдонимом GitCaught, заявила, что кампания не только подчеркивает злоупотребление аутентичными интернет-сервисами для организации кибератак, но и зависимость от множества вариантов вредоносного ПО, нацеленных на Android, macOS и Windows, для увеличения вероятности успеха.
Цепочки атак предполагают использование поддельных профилей и репозиториев на GitHub, в которых размещаются поддельные версии известного программного обеспечения с целью получения конфиденциальных данных со скомпрометированных устройств. Ссылки на эти вредоносные файлы затем внедряются в несколько доменов, которые обычно распространяются с помощью кампаний по вредоносной рекламе и SEO-отравлению.
Злоумышленник, стоящий за операцией, предположительно являющийся русскоязычными участниками угроз из Содружества Независимых Государств (СНГ), также был замечен с использованием серверов FileZilla для управления вредоносным ПО и доставки его.
Дальнейший анализ файлов образов дисков на GitHub и связанной с ними инфраструктуры определил, что атаки связаны с более крупной кампанией, направленной на распространение RedLine, Lumma, Raccoon, Vidar, Rhadamanthys, DanaBot и DarkComet RAT, по крайней мере, с августа 2023 года.
Путь заражения Rhadamanthys также примечателен тем фактом, что жертвы, попадающие на поддельные веб-сайты приложений, перенаправляются на полезные файлы, размещенные на Bitbucket и Dropbox, что предполагает более широкое злоупотребление законными сервисами.
Разработка происходит после того, как команда Microsoft Threat Intelligence заявила, что бэкдор macOS под кодовым названием Activator остается "очень активной угрозой", распространяемой через файлы образов дисков, выдающие себя за взломанные версии законного программного обеспечения и крадущие данные из приложений Exodus и биткоин-Qt кошельков.
"Это предлагает пользователю разрешить запуск с повышенными привилегиями, отключает гейткипер macOS и Центр уведомлений", - сказал технический гигант. "Затем он загружает и запускает несколько этапов вредоносных скриптов Python из нескольких доменов command-and-control (C2) и добавляет эти вредоносные скрипты в папку LaunchAgents для сохранения".
"Наличие нескольких вариантов вредоносного ПО предполагает широкую кроссплатформенную стратегию таргетинга, в то время как перекрывающаяся инфраструктура C2 указывает на централизованную настройку командования, что, возможно, повышает эффективность атак", - говорится в отчете Insikt Group из Recorded Future.
Компания по кибербезопасности, отслеживающая активность под псевдонимом GitCaught, заявила, что кампания не только подчеркивает злоупотребление аутентичными интернет-сервисами для организации кибератак, но и зависимость от множества вариантов вредоносного ПО, нацеленных на Android, macOS и Windows, для увеличения вероятности успеха.
Цепочки атак предполагают использование поддельных профилей и репозиториев на GitHub, в которых размещаются поддельные версии известного программного обеспечения с целью получения конфиденциальных данных со скомпрометированных устройств. Ссылки на эти вредоносные файлы затем внедряются в несколько доменов, которые обычно распространяются с помощью кампаний по вредоносной рекламе и SEO-отравлению.
Злоумышленник, стоящий за операцией, предположительно являющийся русскоязычными участниками угроз из Содружества Независимых Государств (СНГ), также был замечен с использованием серверов FileZilla для управления вредоносным ПО и доставки его.
Дальнейший анализ файлов образов дисков на GitHub и связанной с ними инфраструктуры определил, что атаки связаны с более крупной кампанией, направленной на распространение RedLine, Lumma, Raccoon, Vidar, Rhadamanthys, DanaBot и DarkComet RAT, по крайней мере, с августа 2023 года.
Путь заражения Rhadamanthys также примечателен тем фактом, что жертвы, попадающие на поддельные веб-сайты приложений, перенаправляются на полезные файлы, размещенные на Bitbucket и Dropbox, что предполагает более широкое злоупотребление законными сервисами.
Разработка происходит после того, как команда Microsoft Threat Intelligence заявила, что бэкдор macOS под кодовым названием Activator остается "очень активной угрозой", распространяемой через файлы образов дисков, выдающие себя за взломанные версии законного программного обеспечения и крадущие данные из приложений Exodus и биткоин-Qt кошельков.
"Это предлагает пользователю разрешить запуск с повышенными привилегиями, отключает гейткипер macOS и Центр уведомлений", - сказал технический гигант. "Затем он загружает и запускает несколько этапов вредоносных скриптов Python из нескольких доменов command-and-control (C2) и добавляет эти вредоносные скрипты в папку LaunchAgents для сохранения".
