Η hacking συμμορία APT17, έχει εντοπιστεί να στοχεύει ιταλικές εταιρείες και κυβερνητικές οντότητες, χρησιμοποιώντας μια παραλλαγή του κακόβουλου λογισμικού (malware) 9002 RAT.

Οι δύο επιθέσεις πραγματοποιήθηκαν στις 24 Ιουνίου και στις 2 Ιουλίου 2024, σύμφωνα με ανάλυση της ιταλικής εταιρείας κυβερνοασφάλειας TG Soft που δημοσιεύθηκε την περασμένη εβδομάδα.

Διαβάστε περισσότερα: BeaverTail: Ανακαλύφθηκε νέα έκδοση του macOS malware

Το APT17 έγινε αντιληπτό για πρώτη φορά το 2013 από τη Mandiant (τότε FireEye) που ανήκει στην Google ως μέρος των επιχειρήσεων κυβερνοκατασκοπείας που ονομάστηκαν ViceDog and Ephemeral Hydra που εκμεταλλεύτηκαν ελαττώματα zero-day στον Internet Explorer της Microsoft.

Αυτές οι συμμορίες κυβερνοκατασκοπείας είναι επίσης γνωστές και ως Aurora Panda, Bronze Keystone, Dogfish, Elderwood, Helium, Hidden Lynx και TEMP.Avengers. Οι hackers μοιράζονται επίσης κάποια κοινά εργαλεία με μία άλλη hacking συμμορία, την Webworm.

Το 9002 RAT, γνωστό και ως Hydraq και McRAT, έγινε γνωστό ως το όπλο επιλογής στον κυβερνοχώρο στην Επιχείρηση Aurora που ξεχώρισε την Google και άλλες μεγάλες εταιρείες το 2009. Στη συνέχεια χρησιμοποιήθηκε επίσης σε μια άλλη καμπάνια του 2013 με το όνομα Sunshop στην οποία οι εισβολείς έκαναν κακόβουλες ανακατευθύνσεις σε πολλές ιστοσελίδες.

Οι πιο πρόσφατες αλυσίδες επιθέσεων περιλαμβάνουν τη χρήση spear-phishing, με σκοπό να εξαπατήσουν τους παραλήπτες ώστε να κάνουν κλικ σε έναν σύνδεσμο που τους ενθαρρύνει να κατεβάσουν ένα πρόγραμμα εγκατάστασης MSI για το Skype για επιχειρήσεις (“SkypeMeeting.msi”).

Η εκκίνηση του πακέτου MSI προκαλεί την εκτέλεση ενός Java Archive (JAR) αρχείου μέσω ενός Visual Basic Script (VBS), ενώ ταυτόχρονα εγκαθιστά το νόμιμο λογισμικό συνομιλίας στο σύστημα Windows. Η εφαρμογή Java, στη συνέχεια, αποκρυπτογραφεί και εκτελεί shellcode που είναι υπεύθυνος για την εκκίνηση του 9002 RAT.

To 9002 RAT είναι ένα trojan που διαθέτει δυνατότητες για παρακολούθηση της κυκλοφορίας δικτύου, λήψη screenshots, απαρίθμηση αρχείων, διαχείριση διαδικασιών και εκτέλεση πρόσθετων εντολών που λαμβάνονται από απομακρυσμένο server. Αυτές οι λειτουργίες διευκολύνουν εκτός των άλλων και την ανακάλυψη του δικτύου.

Δείτε ακόμη: Νέο BugSleep malware χρησιμοποιείται σε επιθέσεις της MuddyWater

“Το κακόβουλο λογισμικό φαίνεται να ενημερώνεται συνεχώς, συμπεριλαμβανομένων των diskless παραλλαγών,” ανέφερε η TG Soft. “Αποτελείται από διάφορες ενότητες που ενεργοποιούνται κατά περίπτωση από τον κυβερνοχώρο, μειώνοντας έτσι την πιθανότητα ανίχνευσης.

Πηγή: thehackernews