Jump to content

Киберпреступники использовали Pastebin для распространения RAT


Recommended Posts

Киберпреступная группировка, уступающая своим собратьям в финансировании и технологиях, ухитрилась запустить политически мотивированную операцию, жертвами которой стали 240 человек в 39 странах.

Речь идет о подразделении группировки Gaza Cybergang, известном как Gaza Cybergang Group1 (другое название MoleRATs).Как сообщает «Лаборатория Касперского», в Gaza Cybergang входят киберпреступники, разговаривающие на арабском языке и преследующие политические мотивы. Сфера их интересов – страны Среднего Востока (в особенности палестинская территория) и Северной Африки.

Gaza Cybergang состоит из трех подразделений – кроме Gaza Cybergang Group1 в нее входят Gaza Cybergang Group2 и Gaza Cybergang Group3. Первая из трех группировок финансируется меньше остальных и использует очень простые техники. Как правило, для заражения компьютеров трояном для удаленного доступа (или несколькими) она использует Pastebin. Яркий пример – операция SneakyPastes.

В ходе операции злоумышленники использовали фишинг и делили атаку на несколько связанных между собой этапов. Для того чтобы избежать обнаружения и продлить срок действия C&C-сервера, Gaza Cybergang Group1 хранила свое вредоносное ПО в публичных сервисах Pastebin, Mailimg, Github, dev-point.co, a.pomf.cat и upload.cat.

Эксперты ЛК обнаружили несколько закладок, использовавших PowerShell, VBS, JS и .NET для получения персистентности на зараженной системе. Вредоносным ПО, загружаемым на завершающем этапе атаки, является троян для удаленного доступа (RAT). Вредонос собирает документы в форматах PDF, DOC, DOCX, XLS и XLSX, компрессирует их, шифрует и отправляет на C&C-сервер.

Операция началась в конце 2018 и продолжалась в начале 2019 года. Чаще всего жертвами SneakyPastes становились посольства, государственные и образовательные учреждения, СМИ, журналисты, активисты, политические партии и отдельные политики, организации здравоохранения и банки. В настоящее время операция завершена, а часть ее инфраструктуры отключена общими усилиями ЛК и правоохранительных органов.

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Create New...