Dark Caracal вооружилась Poco RAT: 483 атаки за полгода
Исследователи выявили новый бэкдор в арсенале группировки.
Группа киберпреступников Dark Caracal, известная своей деятельностью с 2012 года, модернизировала свои инструменты и изменила тактику атак. Такой вывод сделали эксперты отдела Threat Intelligence центра безопасности Positive Technologies (PT Expert Security Center, PT ESC), исследовав вредоносное программное обеспечение Poco RAT. Ранее этот бэкдор не связывался с какой-либо известной группировкой, однако дополнительный анализ атак позволил установить его связь с Dark Caracal.
На протяжении 2024 года системы киберразведки PT Expert Security Center фиксировали кампанию, в которой использовался Poco RAT — бэкдор, предоставляющий злоумышленникам удаленный доступ к устройствам жертв. Атаки были направлены на испаноязычных пользователей, что подтверждалось языком фишинговых писем и содержанием вредоносных вложений. Наиболее активно вредонос загружался в публичные песочницы из Венесуэлы, Чили, Доминиканской Республики и Колумбии.
Жертвам рассылались письма, содержащие уведомления о необходимости оплаты счета, а во вложении прикреплялся файл-приманка, название которого создавало иллюзию финансовых отношений между пользователем и отправителем. Эти файлы обходили антивирусную защиту и имели нечеткое визуальное оформление, что повышало вероятность их открытия. После взаимодействия с документом автоматически загружался архив в формате .rev, содержащий дроппер, имя которого совпадало с названием приманки, усиливая доверие жертвы. Основная функция дроппера заключалась в загрузке и запуске Poco RAT без оставления следов на диске.
Группировка Dark Caracal действует по заказу, осуществляя атаки на правительственные и военные структуры, активистов, журналистов и коммерческие организации. Ранее основным инструментом атак был троян удаленного доступа Bandook, который использовался исключительно данной группировкой. Однако специалисты PT ESC зафиксировали, что распространение образцов Bandook прекратилось в тот момент, когда в атаках начал активно применяться Poco RAT. Оба инструмента имеют функциональные сходства и используют схожую сетевую инфраструктуру.
По оценке специалистов, кампания с применением Poco RAT является продолжением деятельности Dark Caracal и свидетельствует о стремлении группировки адаптироваться к современным методам защиты. С июня 2024 года зафиксировано 483 случая использования Poco RAT, что значительно превышает количество обнаруженных образцов Bandook за период с февраля 2023 по сентябрь 2024 года, которых насчитывалось 355. Это может указывать на переход преступников к массовым фишинговым рассылкам с применением нового инструмента.