OilRig guruhi zararli dasturlarni tarqatish uchun LinkedIn’dan foydalanadi
APT34 so’nggi kampaniyalarda uchta yangi zararli dasturlardan foydalanishni boshladi.
FireEye hisobotiga ko’ra, OilRig kiberjinoyatchilar guruhi (shuningdek, Crambus, APT34, HelixKitten nomi bilan ham tanilgan) o’tgan oy davomida kampaniyalarida uchta yangi zararli dasturlardan foydalanishni boshladi. OilRig – Eron hukumati bilan aloqador deb hisoblangan kiberjinoyat xakerlar guruhi. U birinchi navbatda Yaqin Sharqdagi moliya, hukumat, energetika, telekommunikatsiya va kimyo sanoatidagi tashkilotlarni nishonga oladi.
Tadqiqotchilarning ta’kidlashicha, so’nggi kampaniya yangi zararli dasturlardan ham, qo’shimcha infratuzilmadan ham foydalangan. Hujumchilar o‘zini Kembrij universiteti xodimi sifatida ko‘rsatib, zararli hujjatlarni yetkazib berish uchun LinkedIn biznes ijtimoiy tarmog‘idan foydalangan. Ularning maqsadi jabrlanuvchilarning ishonchini qozonish va zararli dastur bilan zararlangan hujjatlarni ochish edi.
Yangi zararli dasturlar roʻyxati tizim maʼlumotlarini toʻplash, fayllarni yuklab olish va yuklash hamda oʻzboshimchalik bilan qobiq buyruqlarini bajarishi mumkin boʻlgan TONEDEAF orqa eshikini oʻz ichiga oladi. Zararli dastur HTTP GET va POST so’rovlari yordamida C&C serveri bilan bog’lanadi. Zararli kod .xls faylida joylashgan bo‘lib, u LinkedIn xabari orqali Kembrij universiteti xodimi tomonidan tarqatilgan.
Mutaxassislar yana ikkita zararli oilani – VALUEVAULT va LONGWATCHni ham aniqladilar. Bundan tashqari, kampaniya doirasida jinoyatchilar brauzerdan hisob ma’lumotlarini o‘g‘irlash uchun PICKPOCKET vositasining yangi versiyasidan foydalangan. LONGWATCH – Windows operatsion tizimidagi temp papkasida log.txt faylidagi barcha tugmalar bosishlari haqidagi ma’lumotlarni saqlaydigan keylogger.
VALUEVAULT – bu brauzerdan hisob ma’lumotlarini o’g’irlash uchun mo’ljallangan Windows Vault Password Dumper vositasining kompilyatsiya qilingan Golang versiyasi. Asl versiyaga o’xshab, VALUEVAULT Windows Vault xotirasidan hisob ma’lumotlarini olishi mumkin. Keyin asbob brauzerda saqlangan parollarni qurbonlar tashrif buyurgan saytlardagi hisobga olish ma’lumotlari bilan solishtirish uchun brauzer tarixini chiqaradi.
«Biz bu APT34 o‘zining yangi vositalarini namoyish qilgan oxirgi marta emas deb gumon qilamiz. Jinoyatchilar aniqlanmaslik uchun TTPni (taktika, texnika va protseduralar) tez-tez o‘zgartiradilar, ayniqsa nishon yuqori qiymatga ega bo‘lsa. Shu sabablarga ko‘ra tashkilotlarga o‘z himoyasi borasida hushyor bo‘lishni tavsiya qilamiz», – deya xulosa qildi FireEye.
