Бесфайловые варианты 9002 RAT существенно усложняют обнаружение угрозы.
Китайская хакерская группа APT17 атаковала итальянские компании и госучреждения, используя модифицированную версию известного вредоносного ПО 9002 RAT, замаскированного под приложение Skype. Об этом сообщила итальянская компания TG Soft в своём недавнем отчёте.
Атаки произошли 24 июня и 2 июля 2024 года. В первом случае злоумышленники использовали документ Microsoft Office, а во втором — обычную ссылку. Оба варианта предлагали жертвам установить пакет Skype для бизнеса через поддельный домен, имитирующий официальный итальянский ресурс: «meeting[.]equitaligaiustizia[.]it/angelo[.]maisto[.]guest». В результате установки жертвы получали на свой компьютер троян удалённого доступа 9002 RAT.
Группа APT17, также известная как Aurora Panda и Bronze Keystone, впервые была описана в 2013 году компанией Mandiant. Тогда хакеры использовали уязвимости в Internet Explorer для кибершпионажа. Вредоносное ПО 9002 RAT, также известное как Hydraq и McRAT, впервые приобрело известность в 2009 году в ходе операции Aurora, нацеленной на Google и другие крупные компании.
В последних атаках злоумышленники использовали фишинговые методы, чтобы заставить получателей переходить по ссылке и скачивать MSI-установщик Skype для бизнеса. Запуск этого установщика приводит к выполнению Java-архива (JAR) через скрипт Visual Basic (VBS), который одновременно устанавливает в том числе и легитимный Skype для бизнеса, чтобы не вызвать у жертвы подозрений. Затем установленное Java-приложение расшифровывает и запускает shell-код, активирующий 9002 RAT.
9002 RAT — модульный троян, способный отслеживать сетевой трафик, делать скриншоты, перечислять файлы, управлять процессами и выполнять команды с удалённого сервера для облегчения сетевого обнаружения. TG Soft отметила, что это ПО постоянно обновляется, включая бесфайловые варианты, что значительно снижает вероятность его обнаружения.
Описанные инциденты подчёркивают необходимость постоянного обновления систем безопасности и обучения сотрудников методам киберзащиты. В условиях возрастающей активности хакерских группировок, таких как APT17, любая компания или государственное учреждение могут стать мишенью. Регулярные проверки и осведомлённость о современных угрозах могут существенно снизить риски успешных атак.
Одно найти легче, чем другое. Спойлер: это не темная материя