Carding 4 Carders
Professional
- Messages
- 2,730
- Reaction score
- 1,467
- Points
- 113
Атаки с использованием вредоносного ПО DarkGate commodity, нацеленного на организации в Великобритании, США и Индии, были связаны с вьетнамскими субъектами, связанными с использованием печально известного похитителя утиных хвостов.
"Дублирование инструментов и кампаний, весьма вероятно, связано с влиянием рынка киберпреступности", - говорится в опубликованном сегодня отчете WithSecure. "Злоумышленники могут приобретать и использовать множество различных инструментов для одной и той же цели, и все, что им нужно сделать, это придумать цели, кампании и приманки".
Разработка происходит на фоне всплеска вредоносных кампаний с использованием DarkGate в последние месяцы, главным образом из-за решения автора предоставить его в аренду другим субъектам угрозы по принципу "вредоносное ПО как услуга" (MaaS) после частного использования с 2018 года.
Это не только DarkGate и Ducktail, поскольку вьетнамский кластер участников угроз, ответственный за эти кампании, использует те же или очень похожие приманки, темы, таргетинг и методы доставки, чтобы также использовать LOBSHOT и RedLine Stealer.
Цепочки атак, распространяющие DarkGate, характеризуются использованием скриптов AutoIt, извлекаемых с помощью скрипта Visual Basic, отправляемых через фишинговые электронные письма или сообщения в Skype или Microsoft Teams. Выполнение скрипта AutoIt приводит к развертыванию DarkGate.
Однако в этом случае первоначальным переносчиком инфекции было сообщение LinkedIn, которое перенаправляло жертву на файл, размещенный на Google Диске, - метод, обычно используемый злоумышленниками Ducktail.
"Очень похожие темы кампаний и приманки использовались для доставки Ducktail и DarkGate", - сказали в WithSecure, хотя функции финального этапа сильно отличаются.
В то время как Ducktail выполняет функцию похитителя, DarkGate - это троянец удаленного доступа (RAT) с возможностями кражи информации, который также устанавливает скрытую сохраняемость на скомпрометированных хостах для доступа черным ходом.
"DarkGate существует уже давно и используется многими группами для различных целей, а не только этой группой или кластером во Вьетнаме", - сказал исследователь безопасности Стивен Робинсон, старший аналитик по анализу угроз в WithSecure.
"Обратной стороной этого является то, что злоумышленники могут использовать несколько инструментов для одной кампании, что может скрыть истинные масштабы их деятельности от анализа исключительно на основе вредоносного ПО".
