Знакомьтесь: Balikbayan Foxes: группа угроз, выдающая себя за правительство Филиппин

  • Sep 22, 2023

Банда также использует Covid-19 для распространения вредоносных троянских программ.

Компания Proofpoint обнаружила новую, «очень активную» группу угроз, которая выдает себя за филиппинское правительство и бизнес с целью распространения вредоносного троянского ПО.

Безопасность

  • 8 привычек высокозащищенных удаленных работников
  • Как найти и удалить шпионское ПО с телефона
  • Лучшие VPN-сервисы: как сравнить пятерку лучших?
  • Как узнать, причастны ли вы к утечке данных, и что делать дальше

В среду исследователи Селена Ларсон и Джо Уайз заявили, что злоумышленники, получившие прозвище «Баликбаянские лисы», и отслеживается как TA2722, сосредоточены на Филиппинах, но нацелены на судоходство, логистику, производство, фармацевтику, бизнес и энергетику в США, Европе и Азии.

Balikbayan Foxes в течение 2021 года проводила кампании, в ходе которых группа рассылала фишинговые электронные письма, утверждая, что они от государственных органов Филиппин, включая министерство здравоохранения страны, агентство по трудоустройству и таможня.

Кроме того, злоумышленники выдавали себя за DHL Philippines, поскольку DHL является частой жертвой выдача себя за другое лицо по всему миру в качестве службы доставки – и посольство Королевства Саудовская Аравия в Маниле (КСА).

По мнению исследователей, чтобы поймать своих жертв, используются фишинг, поддельные адреса электронной почты и приманки по электронной почте. В их число входили сообщения, касающиеся уровня заражения COVID-19, выставления счетов, выставления счетов и отраслевые рекомендации.

Некоторые из целей задействованы в крупных цепочках поставок, поэтому в случае компрометации эти атаки могут иметь далеко идущие последствия.

Каждая кампания, отслеживаемая Proofpoint, была разработана для использования троянов удаленного доступа (RAT) Remcos и NanoCore в целях слежки и кражи данных.

В некоторых случаях были отправлены фишинговые электронные письма, содержащие ссылки OneDrive на вредоносные файлы .RAR, тогда как в других были прикреплены созданные файлы .PDF, содержащие встроенные URL-адреса вредоносных исполняемых файлов. Группа также использовала еще один распространенный метод развертывания полезной нагрузки вредоносного ПО — документы Office, содержащие макросы, которые при включении запускали запуск трояна.

Proofpoint полагает, что деятельность злоумышленника может начаться еще в августе 2020 года, основываясь на активности нескольких кластеров и серверов управления и контроля (C2), которые теперь привязаны к Balikbayan Foxes.

В последнее время группа, похоже, расширяет свою тактику, включив в нее сбор учетных данных. В сентябре название Филиппинского таможенного бюро CPRS использовалось, чтобы убедить жертв посетить вредоносный домен и предоставить данные учетной записи в мошеннических схемах компрометации деловой электронной почты (BEC).

Интересно, что один адрес электронной почты, привязанный к нескольким IP-адресам, связанным с этой волной атак, также был связан с кампании 2017 года предназначен для развертывания трояна Adwind/jRAT, который доступен преступникам как вредоносное ПО как услуга с 2016 года.

Предыдущее и связанное освещение

  • Новая продвинутая хакерская группа нацелена на правительства и инженеров по всему миру
  • ESET обнаружила редкий APT, который оставался незамеченным в течение девяти лет
  • Китайская APT LuminousMoth злоупотребляет брендом Zoom, чтобы нацелиться на правительственные учреждения

Есть подсказка? Безопасная связь через WhatsApp | Позвоните по номеру +447713 025 499 или по телефону Keybase: charlie0.