APT-группа Patchwork заразила свои компьютеры и выдала нюансы операций

APT-группа Patchwork заразила свои компьютеры и выдала нюансы операций

APT-группа Patchwork заразила свои компьютеры и выдала нюансы операций

Хорошо подготовленная киберпреступная группировка Patchwork, занимающая целевыми атаками, умудрилась заразить собственные компьютеры вредоносной программой. В результате хакеры раскрыли детали своих кампаний и методов взлома.

Участники Patchwork, как правило, атакуют государственные учреждения, а также исследователей в области молекулярной хирургии и биологии. На прокол APT-группировки обратила внимания команда Malwarebytes Threat Intelligence.

«Забавно, что нам удалось получить информацию об операциях Patchwork благодаря тому, что кибергруппа заразила собственные устройства трояном, обеспечивающим удалённый доступ. Именно так к нам попали скриншоты и записанные нажатия клавиш с компьютеров злоумышленников», — пишут специалисты в отчёте.

Эксперты считают, что Patchwork активна с 2015 года. Группировка также известна и под другими именами: Dropping Elephant, Chinastrats (по классификации «Лаборатории Касперского»), Quilted Tiger (CrowdStrike), Monsoon (Forcepoint), Zinc Emerson, TG-4410 (SecureWorks) и APT-C-09 (Qihoo 360).

К слову, на счету Patchwork есть приличные заслуги, поскольку операторы в прошлом взломали Министерство обороны Пакистана, Национальный университет обороны Исламабада, а также ряд исследовательских учреждений, работающих в сфере биологии и химии.

Кампании Patchwork обычно начинаются с тщательно продуманного целевого фишинга. С инструментами у кибергруппы всё не так хорошо, поскольку большинство используемого кода просто скопировано из различных источников в Сети.

В январе 2021 года APT-группа начала эксплуатировать RCE-уязвимость в Microsoft Office, известную под идентификатором CVE-2017-0261.

Напомним, что в августе прошлого года похожая ситуация коснулась авторов вредоносной программы Raccoon. Тестируя зловред, злоумышленники заразили свои системы и слили данные.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Аферисты обещают карту на 100 тыс. рублей и просят 3050 рублей «комиссии»

Компания F6 выявила мошенническую схему, нацеленную на кражу денег и персональных данных у граждан, оказавшихся в уязвимом положении. Аферисты в первую очередь ориентируются на пожилых людей с испорченной кредитной историей, которые находятся в сложной жизненной ситуации и остро нуждаются в деньгах.

Злоумышленники привлекают жертв обещанием оформить кредитную карту с лимитом до 100 тыс. рублей под 99% годовых. При этом подчеркивается, что возраст, доход и кредитная история значения не имеют.

Для получения «карты» предлагается заполнить анкету, в которой, помимо прочего, просят указать адрес электронной почты и пароль. Аферисты рассчитывают на то, что, как показывают исследования, почти треть россиян используют один и тот же пароль для всех своих сервисов.

Также в анкете требовалось указать ФИО, адрес проживания, паспортные данные, ИНН, СНИЛС, место работы, стаж и уровень дохода. По данным специалистов F6, такие сведения могут использоваться для последующих атак с элементами социальной инженерии или продаваться на чёрном рынке. Кроме того, с жертв взималась «комиссия» в размере 3050 рублей.

Мошеннический сайт был обнаружен F6 7 июля. Он работал на домене, зарегистрированном на реально существующую компанию из Санкт-Петербурга. Сейчас домен уже заблокирован, однако эксперты не исключают, что по тому же шаблону могут появиться новые сайты.

«Киберпреступники регулярно разрабатывают новые сценарии. При выборе целевой аудитории они ориентируются на самые уязвимые группы — тех, кому проще "продать" заманчивое предложение. В данном случае их интересовали закредитованные люди, которые остро нуждаются в деньгах, но не могут получить новый заём из-за плохой кредитной истории», — отметил ведущий аналитик департамента Digital Risk Protection компании F6 Евгений Егоров.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru