Банда также использует Covid-19 для распространения вредоносных троянских программ.
Компания Proofpoint обнаружила новую, «очень активную» группу угроз, которая выдает себя за филиппинское правительство и бизнес с целью распространения вредоносного троянского ПО.
Безопасность
- 8 привычек высокозащищенных удаленных работников
- Как найти и удалить шпионское ПО с телефона
- Лучшие VPN-сервисы: как сравнить пятерку лучших?
- Как узнать, причастны ли вы к утечке данных, и что делать дальше
В среду исследователи Селена Ларсон и Джо Уайз заявили, что злоумышленники, получившие прозвище «Баликбаянские лисы», и отслеживается как TA2722, сосредоточены на Филиппинах, но нацелены на судоходство, логистику, производство, фармацевтику, бизнес и энергетику в США, Европе и Азии.
Balikbayan Foxes в течение 2021 года проводила кампании, в ходе которых группа рассылала фишинговые электронные письма, утверждая, что они от государственных органов Филиппин, включая министерство здравоохранения страны, агентство по трудоустройству и таможня.
Кроме того, злоумышленники выдавали себя за DHL Philippines, поскольку DHL является частой жертвой выдача себя за другое лицо по всему миру в качестве службы доставки – и посольство Королевства Саудовская Аравия в Маниле (КСА).
По мнению исследователей, чтобы поймать своих жертв, используются фишинг, поддельные адреса электронной почты и приманки по электронной почте. В их число входили сообщения, касающиеся уровня заражения COVID-19, выставления счетов, выставления счетов и отраслевые рекомендации.
Некоторые из целей задействованы в крупных цепочках поставок, поэтому в случае компрометации эти атаки могут иметь далеко идущие последствия.
Каждая кампания, отслеживаемая Proofpoint, была разработана для использования троянов удаленного доступа (RAT) Remcos и NanoCore в целях слежки и кражи данных.
В некоторых случаях были отправлены фишинговые электронные письма, содержащие ссылки OneDrive на вредоносные файлы .RAR, тогда как в других были прикреплены созданные файлы .PDF, содержащие встроенные URL-адреса вредоносных исполняемых файлов. Группа также использовала еще один распространенный метод развертывания полезной нагрузки вредоносного ПО — документы Office, содержащие макросы, которые при включении запускали запуск трояна.
Proofpoint полагает, что деятельность злоумышленника может начаться еще в августе 2020 года, основываясь на активности нескольких кластеров и серверов управления и контроля (C2), которые теперь привязаны к Balikbayan Foxes.
В последнее время группа, похоже, расширяет свою тактику, включив в нее сбор учетных данных. В сентябре название Филиппинского таможенного бюро CPRS использовалось, чтобы убедить жертв посетить вредоносный домен и предоставить данные учетной записи в мошеннических схемах компрометации деловой электронной почты (BEC).
Интересно, что один адрес электронной почты, привязанный к нескольким IP-адресам, связанным с этой волной атак, также был связан с кампании 2017 года предназначен для развертывания трояна Adwind/jRAT, который доступен преступникам как вредоносное ПО как услуга с 2016 года.
Предыдущее и связанное освещение
-
Новая продвинутая хакерская группа нацелена на правительства и инженеров по всему миру
-
ESET обнаружила редкий APT, который оставался незамеченным в течение девяти лет
-
Китайская APT LuminousMoth злоупотребляет брендом Zoom, чтобы нацелиться на правительственные учреждения
Есть подсказка? Безопасная связь через WhatsApp | Позвоните по номеру +447713 025 499 или по телефону Keybase: charlie0.