SecAtor

Исследователи из Positive Technologies расчехлили новую финансово мотивированную группу злоумышленников, которая на протяжении почти двух лет атаковала финансовые подразделения российских компаний.

Исследователи назвали ее в честь африканской габонской гадюки, которую можно встретить в окрестностях стратовулкана Килиманджаро – DarkGaboon.

Основным инструментом является готовый инструмент под названием Revenge RAT.

Группировка умело шаблоны документов, загруженные с легитимных российских ресурсов, посвященных финансовой тематике, а также знакома с русской лексикой.

На след DarkGaboon удалось напасть в середине октября прошлого года, когда исследователи задетектили таргетированную рассылку Revenge RAT сотрудникам одного российского банка.

Электронное письмо с заголовком «Сверка взаиморасчетов» содержало сопроводительный текст на русском языке и архив-приманку «Акт сверка.z». Для рассылки был использован скомпрометированный адрес электронной почты.

Внимание привлекла группа из 11 семплов Revenge RAT и связанных с ними восемь Dynamic DNS доменов кластера с "африканским" названием kilimanjaro.

Анализ показал, что аналогичная активность в отношении российских компаний прослеживается как минимум с мая 2023 года.

Однако ранее, до октября 2024, в качестве управляющей инфраструктуры использовался один Dynamic DNS домен и группа сменяющихся в среднем один раз в месяц управляющих серверов кластера rampage.

Домены из обоих кластеров были делегированы одному расположенному на территории Болгарии серверу с разницей во времени в одну неделю.

Все найденные артефакт указывали, что оба кластера rampage и kilimanjaro использовались одной группировкой.

Как установили Позитивы, DarkGaboon стабильно обновляла используемые комплекты файлов, ежемесячно выпуская в среднем по 10 новых вредоносных сборок с Revenge RAT и пропорциональное им количество файлов-приманок, что обеспечивало скрытность.

Все 43 вариации документов-приманок Microsoft Office были сгенерированы путем незначительных модификаций четырех шаблонов, скачанных с российских интернет-ресурсов финансовой направленности, вероятно, для изменения хеш-сумм.

Подавляющее большинство обнаруженных семплов имеет русскоязычные названия, связанные с бухгалтерской отчетностью.

С августа 2024 года DarkGaboon использовали омоглифы в названиях вредоносных семплов, делая их незаметными для строгих поисковых правил, нацеленных на файлы исключительно с кириллическими названиями.

Все семплы Revenge RAT были подписаны поддельными сертификатами X.509, владельцы которых в большинстве своем имели русские названия, но были и названия американских штатов и города, а также крупных западных компаний.

Вишенкой на торте оказался сертификат X.509 с именем OOO ZAL[…]PA, подчеркивающим глубокие знания DarkGaboon основ русскоязычной лексики.

Позитивы полагают, что злоумышленники, скорее всего, – носители русского языка.

Также DarkGaboon использует и весьма распространенные в киберподполье сертификаты, это связано с применением ей популярных криптеров для обфускации и подписания вредоносного кода.

Перечисленные особенности, включая и тот факт, что почти половина всех загрузок семплов на публичные сервисы проверки файлов приходится на Россию, указывают на явную направленность атак DarkGaboon в отношении российского сегмента.

При этом стабильное обновление наступательного арсенала указывает на то, что группа даже не планирует останавливаться и намерена усиливать атаки.

Технический разбор и IoC - в отчете.

www.group-telegram.com/in/true_secator.com/6657

9.2K viewsJan 24 at 17:30

Исследователи из Positive Technologies расчехлили новую финансово мотивированную группу злоумышленников, которая на протяжении почти двух лет атаковала финансовые подразделения российских компаний.

Исследователи назвали ее в честь африканской габонской гадюки, которую можно встретить в окрестностях стратовулкана Килиманджаро – DarkGaboon.

Основным инструментом является готовый инструмент под названием Revenge RAT.

Группировка умело шаблоны документов, загруженные с легитимных российских ресурсов, посвященных финансовой тематике, а также знакома с русской лексикой.

На след DarkGaboon удалось напасть в середине октября прошлого года, когда исследователи задетектили таргетированную рассылку Revenge RAT сотрудникам одного российского банка.

Электронное письмо с заголовком «Сверка взаиморасчетов» содержало сопроводительный текст на русском языке и архив-приманку «Акт сверка.z». Для рассылки был использован скомпрометированный адрес электронной почты.

Внимание привлекла группа из 11 семплов Revenge RAT и связанных с ними восемь Dynamic DNS доменов кластера с "африканским" названием kilimanjaro.

Анализ показал, что аналогичная активность в отношении российских компаний прослеживается как минимум с мая 2023 года.

Однако ранее, до октября 2024, в качестве управляющей инфраструктуры использовался один Dynamic DNS домен и группа сменяющихся в среднем один раз в месяц управляющих серверов кластера rampage.

Домены из обоих кластеров были делегированы одному расположенному на территории Болгарии серверу с разницей во времени в одну неделю.

Все найденные артефакт указывали, что оба кластера rampage и kilimanjaro использовались одной группировкой.

Как установили Позитивы, DarkGaboon стабильно обновляла используемые комплекты файлов, ежемесячно выпуская в среднем по 10 новых вредоносных сборок с Revenge RAT и пропорциональное им количество файлов-приманок, что обеспечивало скрытность.

Все 43 вариации документов-приманок Microsoft Office были сгенерированы путем незначительных модификаций четырех шаблонов, скачанных с российских интернет-ресурсов финансовой направленности, вероятно, для изменения хеш-сумм.

Подавляющее большинство обнаруженных семплов имеет русскоязычные названия, связанные с бухгалтерской отчетностью.

С августа 2024 года DarkGaboon использовали омоглифы в названиях вредоносных семплов, делая их незаметными для строгих поисковых правил, нацеленных на файлы исключительно с кириллическими названиями.

Все семплы Revenge RAT были подписаны поддельными сертификатами X.509, владельцы которых в большинстве своем имели русские названия, но были и названия американских штатов и города, а также крупных западных компаний.

Вишенкой на торте оказался сертификат X.509 с именем OOO ZAL[…]PA, подчеркивающим глубокие знания DarkGaboon основ русскоязычной лексики.

Позитивы полагают, что злоумышленники, скорее всего, – носители русского языка.

Также DarkGaboon использует и весьма распространенные в киберподполье сертификаты, это связано с применением ей популярных криптеров для обфускации и подписания вредоносного кода.

Перечисленные особенности, включая и тот факт, что почти половина всех загрузок семплов на публичные сервисы проверки файлов приходится на Россию, указывают на явную направленность атак DarkGaboon в отношении российского сегмента.

При этом стабильное обновление наступательного арсенала указывает на то, что группа даже не планирует останавливаться и намерена усиливать атаки.

Технический разбор и IoC - в отчете.

BY SecAtor