Новое исследование показало, что группа угроз, лежащая в
основе кражи криптовалюты MasterMana, становится все более изощренной и теперь
ловит жертв через поддельные порталы входа.
Было замечено, что GorgonGroup нацелена на Европейский Союз,
а также на главную электроэнергетическую и водопроводную компанию Дубая DEWA с
поддельными страницами входа, которые очень убедительны.
Незаконная деятельность была обнаружена исследователями в фирме
Prevailion, специализирующейся на кибер-разведке, которая опубликовала доклад о растущей угрозе со стороны
GorgonGroup.
В другой недавно обнаруженной кампании исследователи
наблюдали, как GorgonGroup использует хитроумную схему социальной инженерии,
ориентированную на говорящих на испанском и португальском языках с «нарисованными»
на коленках сайтами отелей и поддельными подтверждениями бронирования.
Исторически сложилось так, что группа использовала дешевое
вредоносное ПО, полученное через темную сеть (Darknet), для организации своего
мошенничества, но исследователи говорят, что GorgonGroup сейчас разрабатывает и
настраивает эти инструменты.
«Я удивлен уровнем изощренности, проявленным этой группой за
последний год», - сказал директор аналитического отдела Prevailion Дэнни
Адамитис в интервью журналу Infosecurity. «За это время они предприняли ряд
шагов, чтобы повысить свою операционную безопасность как против обнаружения на
уровне сети, так и на уровне хоста.
«Одним из примеров является их использование нового « office.dll », которое повысит
уровень привилегий «актера», а затем отключит Защитника Windows. Другой пример
- это «актер», вернувшийся назад и изменяющий старый пост Pastebin, чтобы
усложнить отслеживание их активности. "
Наряду с новым "office.dll", группа Gorgon
выпустила вариант трояна NJrat и новый троянский файл PowerPoint, а также
загрузчик, который ссылается на тексты рэпера Дрейка.
Адамитис, чей любимый трек Дрейка - «План Бога», сказал, что
было трудно предсказать, как будет развиваться группа угроз.
Он сказал: «К сожалению, в настоящее время у нас
недостаточно данных, чтобы сделать какие-либо обоснованные выводы об их
намерениях».
В настоящее время неизвестно, где работает GorgonGroup, хотя
Адамитис предполагает, что группа работает за пределами Пакистана.
Адамитис сказал: «Мы наблюдали некоторую активность
GorgonGroup, происходящую с пакистанских IP-адресов; однако IP-адреса могут
быть подделаны. В настоящее время у нас нет достаточных доказательств, чтобы
сделать какие-либо окончательные комментарии по поводу атрибуции».
Комментариев нет:
Отправить комментарий