Группировка RATicate атаковала промышленные предприятия по всему миру

Группировка RATicate атаковала промышленные предприятия по всему миру

Alexander Antipov

Для заражения систем целей злоумышленники использовали фишинговые письма.

image

Исследователи безопасности из компании Sophos выявили киберпреступную группировку RATicate, которая эксплуатировала установщики Nullsoft Scriptable Install System (NSIS) с целью установки инструментов для удаленного доступа (RAT) и инфостилеров в рамках атак, нацеленных на промышленные компании.

RATicate атаковала промышленные компании в Европе, Ближнем Востоке и Южной Корее в ходе пяти отдельных кампаний в период с ноября 2019 года по январь 2020 года. Атаки были нацелены на различные типы предприятий промышленного сектора, в том числе производителя электрооборудования в Румынии, кувейтской строительно-инженерной компании, корейской интернет-компании, корейской инвестиционной фирмы, британского производителя строительных материалов, корейского издания медицинских новостей, корейского производителя телекоммуникационных и электрических кабелей, швейцарского производителя издательского оборудования и японской курьерской и транспортной компании.

Для заражения систем целей злоумышленники использовали две схемы, включающие доставку полезных нагрузок с помощью фишинговых писем. В первом варианте использовались вложения в формате ZIP, UDF и IMG, содержащие вредоносные установщики NSIS, а во втором — документы в формате XLS и RTF для загрузки установщиков с удаленного сервера на устройства жертвы.

В ходе анализа вредоносов специалисты обнаружили несколько разных семейств RAT и инфостилеров. Среди них были Lokibot, Betabot, Formbook и AgentTesla, но все они выполняли один и тот же многоступенчатый процесс распаковки при запуске.

Как обнаружили эксперты, RATicate стояла за пятью последовательными кампаниями. Некоторые из различных полезных нагрузок в каждой кампании (в основном, Betabot, Lokibot, AgentTesla и Formbook) имели один и тот же C&C-сервер.

Подписывайтесь на каналы «SecurityLab» в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Источник: Securitylab