Операция «Red Deer»: кибершпионы атакуют израильские организации

Perception Point AsyncRAT TTPs HTML smuggling VBScript RAT Israel Post ISO 3losh RAT Racoon Redline Stealer Aggah
Операция «Red Deer»: кибершпионы атакуют израильские организации
Perception Point AsyncRAT TTPs HTML smuggling VBScript RAT Israel Post ISO 3losh RAT Racoon Redline Stealer Aggah

Почта Израиля стала участником цепочки заражения трояном AsyncRAT.

image

Специалисты компании Perception Point обнаружили фишинговую кампанию, нацеленную на множество израильских организаций из различных отраслей, в ходе которой злоумышленники развёртывают RAT-троян AsyncRAT.

Название операции «Красный Олень» выбрано потому, что хакеры подделывали email-адрес Почты Израиля (Israel Post), чей логотип - красный олень. Атака начинается с фишингового письма от имени Почты Израиля с HTML-вложением, который при открытии загружает ISO-образ (HTML smuggling - Контрабанда HTML). Стоит отметить, что HTML-файл индивидуализирован под стиль Israel Post.

ISO-образ содержит обфусцированный VBS-скрипт, который выполняет 3losh RAT – модифицированную версию вредоносного ПО AsyncRAT – троян для удаленного администрирования.

Основываясь на TTPs и цепочке заражения, эксперты предположили, что операцией «Red Deer» группировка Aggah из Пакистана. Aggah специализируется на атаках на правительственные и корпоративные сайты в США и Европе. Хакеры также занимаются вымогательством, шантажом и кражей данных. Aggah была образована в 2020 году из членов других хакерских групп, таких как Killnet и DarkSide.

Троян AsyncRAT — это троян удаленного доступа (RAT), который позволяет злоумышленникам удаленно контролировать компьютеры в заражённой сети.

AsyncRAT имеет множество функций, таких как:

  • регистрация нажатий клавиш;
  • запись аудио/видео;
  • эксфильтрация данных;
  • удаленное управление рабочим столом;
  • восстановление паролей;
  • запуск удаленной оболочки;
  • доставка полезной нагрузки.

AsyncRAT ранее был использован в различных вредоносных кампаниях и группами хакеров . Так, например, китайская APT -группа BackdoorDiplomacy проводила кибершпионскую кампанию против телекоммуникационной фирмы на Ближнем Востоке. В ходе атак использовалось несколько вредоносных инструментов, в том числе троян AsyncRAT.

Также в 2022 году киберпреступники создали целый проект для продвижения поддельной P2E-игры (play-to-earn) под названием Cthulhu World, который распространяет вредоносное ПО Raccoon Stealer, AsyncRAT и RedLine для кражи паролей жертв.

Ищем уязвимости в системе и новых подписчиков!

Первое — находим постоянно, второе — ждем вас

Эксплойтните кнопку подписки прямо сейчас