Carding 4 Carders
Professional
Относительно новый субъект угрозы, известный как YoroTrooper, вероятно, состоит из операторов, происходящих из Казахстана.
Оценка, которая исходит от Cisco Talos, основана на их свободном владении казахским и русским языками, использовании тенге для оплаты операционной инфраструктуры и очень ограниченном нацеливании на казахстанские организации, за исключением правительственного агентства по борьбе с коррупцией.
"YoroTrooper пытается скрыть происхождение своих операций, используя различные тактики, чтобы представить свою вредоносную активность исходящей из Азербайджана, например, используя узлы выхода VPN, локальные в этом регионе", - сказали исследователи безопасности Ашир Малхотра и Витор Вентура.
Впервые задокументированный компанией по кибербезопасности в марте 2023 года, противник, как известно, активен по крайней мере с июня 2022 года, выбирая различные государственные структуры в странах Содружества Независимых Государств (СНГ). Словацкая фирма по кибербезопасности ESET отслеживает активность под названием SturgeonPhisher.
Циклы атак YoroTrooper в основном основаны на фишинге с целью распространения попурри из вредоносных программ-похитителей товаров и с открытым исходным кодом, хотя также было замечено, что группа использует начальный вектор доступа для направления жертв на сайты сбора учетных данных, контролируемые злоумышленниками.
"Практика сбора учетных данных дополняет операции YoroTrooper на основе вредоносных программ, конечной целью которых является кража данных", - сказали исследователи.
Публичное раскрытие кампаний злоумышленника привело к тактическому обновлению его арсенала, переходя от обычных вредоносных программ к пользовательским инструментам, запрограммированным на Python, PowerShell, Golang и Rust.
Прочные связи актера с Казахстаном проистекают из того факта, что он регулярно проводит проверку безопасности государственного почтового сервиса mail [.] kz, что указывает на продолжающиеся усилия по мониторингу веб-сайта на предмет потенциальных уязвимостей в системе безопасности.
Она также периодически проверяет курсы конвертации валют между тенге и биткоином в Google ("btc в kzt") и использует alfachange [.] com для конвертации тенге в биткоин и оплаты обслуживания инфраструктуры.
Начиная с июня 2023 года, атаки YoroTrooper на страны СНГ сопровождались повышенным вниманием к изготовленным на заказ имплантатам, при одновременном использовании сканеров уязвимостей, таких как Acunetix, и данных с открытым исходным кодом от поисковых систем, таких как Shodan, для обнаружения и проникновения в сети жертв.
Среди целей были Торговая палата Таджикистана, Агентство по контролю за наркотиками, Министерство иностранных дел, КыргызКомур Кыргызстана и Министерство энергетики Республики Узбекистан.
Другим примечательным аспектом является использование учетных записей электронной почты для регистрации и покупки инструментов и услуг, включая подписку NordVPN и экземпляр VPS от netx [.]hosting за 16 долларов в месяц.
Крупное обновление цепочки заражений влечет за собой перенос троянца удаленного доступа на базе Python (RAT) на PowerShell, а также использование специально созданной интерактивной обратной оболочки для запуска команд на зараженных конечных точках через cmd.exe. PowerShell RAT предназначен для приема входящих команд и передачи данных через Telegram.
В дополнение к экспериментам с несколькими типами средств доставки для своих бэкдоров, YoroTrooper, как говорят, добавил вредоносное ПО на основе Golang и Rust с сентября 2023 года, что позволяет ему создавать обратную оболочку и собирать конфиденциальные данные.
"Их имплантаты на базе Golang являются портами RAT на базе Python, который использует каналы Telegram для эксфильтрации файлов и связи C2", - объяснили исследователи.
