Кем оказались таинственные «Gods» и «Bignosa», и как исследователям удалось их вычислить?
Недавнее исчерпывающее исследование, проведённое специалистами компании Check Point, проливает свет на тёмную сторону киберпространства, раскрывая деятельность и личности злоумышленников, использующих вредоносное ПО Agent Tesla.
Agent Tesla — это продвинутый троян для удалённого доступа (RAT), специализирующийся на краже и проникновении конфиденциальной информации с заражённых машин. Недавно была обнаружена кампания этого вредоносного ПО, нацеленная на организации в США и Австралии, начавшаяся 7 ноября 2023 года. За кампанией стоят два киберпреступника, известных под псевдонимами «Bignosa» и «Gods», использующие фишинговые кампании для распространения вредоносного ПО.
При помощи спам-рассылок с приманками в виде бизнес-предложений злоумышленники распространяли Agent Tesla, замаскированный под невинные вложения. В ходе расследования экспертам Check Point удалось отследить активность этих злоумышленников и определить, что основной из них, «Bignosa», является частью группы, занимающейся вредоносными кампаниями и фишингом, причём основная масса серверов, используемых для распространения Agent Tesla, находится под контролем именно этой группы.
Особое внимание в отчёте Check Point было уделено инструменту Cassandra Protector, который использовался для маскировки вредоносного кода и его преобразования в ISO-образы, увеличивая таким образом шансы на успешное заражение целевых машин. Этот инструмент обладает функциями обхода антивируса, эмуляции, а также может прописывать себя в планировщик задач Windows для обеспечения постоянства.
Тщательный анализ связанной с «Bignosa» и «Gods» информации, включающей IP-адреса, почтовые адреса, телефонные номера, криптотранзакции, профили в Jabber, Skype, LinkedIn и Instagram*, так или иначе мелькающих в Сети, помогли исследователям раскрыть реальные личности злоумышленников.
Первый, «Bignosa», оказался жителем Кении по имени Носахаре Годсон, имеющим обширную историю использования Agent Tesla и проведения фишинговых атак. Второй, Кингсли Фредрик, известный под псевдонимами «Gods» и «Kmarshal», имеет нигерийское происхождение, однако учился в турецком университете. Хакер был связан с фишинговыми и вредоносными кампаниями начиная с марта 2023 года. Страна его текущего местонахождения доподлинно неизвестна.
Изначально специалисты рассматривали сотрудничество между хакерами исключительно в форме ролевой модели «ученик-наставник», так как «Gods» довольно часто помогал «Bignosa» в настройке экземпляров Agent Tesla, а также в удалении остатков заражения с компьютера после непреднамеренного запуска. Тем не менее, более поздние результаты исследования свидетельствуют о более тесном сотрудничестве между хакерами — они действовали как единая группа.
Таким образом, многочисленные следы, оставленные киберпреступниками в сети, позволили исследователям раскрыть их личности, воссоздать их действия, а также заглянуть в их повседневную деятельность. Как оказалось, даже крошечные и неважные фрагменты данных могут подвести итог в общей картине и раскрыть правду, которую злоумышленники предпочли бы скрыть.
Подробные карты цифровых следов для обоих хакеров
Специалисты Check Point заявляют, что тесно сотрудничали с правоохранительными органами при проведении своего расследования, поэтому можно с уверенностью сказать, что это лишь дело времени, когда киберпреступникам выдвинут официальные обвинения, найдут и арестуют.
Это исследование подчёркивает важность бдительности в сфере кибербезопасности и демонстрирует, как тщательный анализ цифровых следов может помочь в идентификации угроз.
Что же касательно Agent Tesla, для минимизации рисков заражения этим и подобным вредоносным ПО рекомендуется своевременно обновлять операционные системы и приложения, быть осторожными с неожиданными электронными письмами и усиливать свою осведомлённость о киберугрозах.
Как сообщается, Check Point продолжит активно мониторить деятельность киберпреступников и сотрудничать с правоохранительными органами для предотвращения будущих атак.
* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.
Большой взрыв знаний каждый день в вашем телефоне