Было замечено, что участники угрозы внедряют вредоносное ПО под названием NiceRAT для кооптации зараженных устройств в ботнет.
Атаки, нацеленные на южнокорейских пользователей, предназначены для распространения вредоносного ПО под видом взломанного программного обеспечения, такого как Microsoft Windows, или инструментов, которые якобы предлагают проверку лицензии для Microsoft Office.
"Из-за природы взломанных программ обмен информацией между обычными пользователями способствует распространению вредоносного ПО независимо от первоначального распространителя", - сказал Центр анализа безопасности AhnLab (ASEC).
"Поскольку субъекты угрозы обычно объясняют способы удаления антивирусных программ на этапе распространения, обнаружить распространяемое вредоносное ПО сложно".
Альтернативные векторы распространения включают использование ботнета, состоящего из компьютеров-зомби, в которые внедряется троянец удаленного доступа (RAT), известный как NanoCore RAT, что отражает предыдущую активность, в которой использовалась вредоносная программа Nitol DDoS для распространения другой вредоносной программы, получившей название Amadey Bot.
NiceRAT - это активно разрабатываемая вредоносная программа с открытым исходным кодом RAT и stealer, написанная на Python, которая использует веб-хук Discord для командования и управления (C2), позволяющий субъектам угрозы перекачивать конфиденциальную информацию со скомпрометированного хостинга.
Впервые выпущена 17 апреля 2024 года, текущая версия программы 1.1.0. По словам ее разработчика, она также доступна как премиум-версия, что предполагает ее рекламу по модели malware-as-a-service (MaaS).
Разработка происходит на фоне возвращения ботнета для майнинга криптовалют, называемого Bondnet, который был обнаружен с использованием высокопроизводительных ботов-майнеров в качестве серверов C2 с 2023 года путем настройки обратного прокси с использованием модифицированной версии законного инструмента под названием Fast Reverse Proxy (FRP).
Атаки, нацеленные на южнокорейских пользователей, предназначены для распространения вредоносного ПО под видом взломанного программного обеспечения, такого как Microsoft Windows, или инструментов, которые якобы предлагают проверку лицензии для Microsoft Office.
"Из-за природы взломанных программ обмен информацией между обычными пользователями способствует распространению вредоносного ПО независимо от первоначального распространителя", - сказал Центр анализа безопасности AhnLab (ASEC).
"Поскольку субъекты угрозы обычно объясняют способы удаления антивирусных программ на этапе распространения, обнаружить распространяемое вредоносное ПО сложно".
Альтернативные векторы распространения включают использование ботнета, состоящего из компьютеров-зомби, в которые внедряется троянец удаленного доступа (RAT), известный как NanoCore RAT, что отражает предыдущую активность, в которой использовалась вредоносная программа Nitol DDoS для распространения другой вредоносной программы, получившей название Amadey Bot.
NiceRAT - это активно разрабатываемая вредоносная программа с открытым исходным кодом RAT и stealer, написанная на Python, которая использует веб-хук Discord для командования и управления (C2), позволяющий субъектам угрозы перекачивать конфиденциальную информацию со скомпрометированного хостинга.
Впервые выпущена 17 апреля 2024 года, текущая версия программы 1.1.0. По словам ее разработчика, она также доступна как премиум-версия, что предполагает ее рекламу по модели malware-as-a-service (MaaS).
Разработка происходит на фоне возвращения ботнета для майнинга криптовалют, называемого Bondnet, который был обнаружен с использованием высокопроизводительных ботов-майнеров в качестве серверов C2 с 2023 года путем настройки обратного прокси с использованием модифицированной версии законного инструмента под названием Fast Reverse Proxy (FRP).
