Нещодавно виявлена хакерська група, яка залишалася непоміченою близько двох років,  “спеціалізується” переважно на атаках авіакомпаній, які використовують програмне забезпечення фінансових розрахунків BSPLink, виготовлене Міжнародною асоціацією повітряного транспорту (IATA), про що повідомляє SecurityWeek.

На 2018 рік, одна з найперших атак, приписуваних противнику, якого компанія з кібербезпеки Malwarebytes називає LazyScripter, була спрямована на осіб, які бажають іммігрувати до Канади. З часом група перетворила свій набір інструментів від PowerShell Empire до Koadic і Octopus RATs, і використовувала LuminosityLink, RMS, Quasar, njRat та Remcos RATs. Фішингові електронні листи, використані в цих атаках, використовували один і той самий завантажувач, щоб завантажити  як Koadic, так і Octopus.

Теми, пов’язані з IATA або роботою, зазвичай використовувались як приманки, але також спостерігались додаткові приманки: безпека IATA, IATA ONE ID, набори підтримки користувачів для користувачів IATA, BSPlink Updater або Upgrade, Туризм (UNWTO), COVID-19, Canada program worker, Canada Visa та Microsoft Updates.

Фішингові електронні листи містять архів або файли документів, що містять варіант завантажувача. Шкідливі інструменти розміщувались в основному за допомогою двох облікових записів GitHub, обидва видалені відповідно 12 та 14 січня 2021 року, а новий обліковий запис було створено 2 лютого. Остання кампанія, започаткована хакерською гру, була помічена 5 лютого, коли був представлений варіант KOCTOPUS, який маскувався під BSPLink Upgrade.exe. На додаток до Koadic і Octopus RATs, навантажувач також заражав жертв трояном Quasar RAT.

Дослідники Malwarebytes виявили 14 шкідливих документів, якими автор загроз користувався з 2018 року, і всі вони містять вбудовані об’єкти, які є варіантами навантажувачів KOCTOPUS або Empoder. На сьогоднішній день дослідники визначили чотири різні версії навантажувача KOCTOPUS, що використовується для завантаження RAT  Koadic, LuminosityLink, RMS та Quadar.

Відомо, що RAT Koadic раніше використовувались групою Muddy Water,  пов’язаною з Іраном, та пов’язаними з Росією суб’єктами загрози APT28. Malwarebytes змогла виявити деяку подібність між діяльністю LazyScripter та Muddy Water, але також виявила ряд відмінностей, які призвели до відстеження цієї групи окремо.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як не стати жертвою кіберзлочину, якщо працюєш вдома? ПОРАДИ

Що таке спуфінг і як запобігти атаці? ПОРАДИ

Чи варто користуватися WhatsApp? П’ять правил безпеки від найбільш розшукуваного хакера світу

Як перенести бесіди з WhatsApp у Telegram на Android? – ІНСТРУКЦІЯ

Як перенести історію чату з WhatsApp у Telegram для iPhone? – ІНСТРУКЦІЯ

Як змінити на Android обліковий запис Google за замовчуванням? – ІНСТРУКЦІЯ

Як дізнатися, які дані Google знає про Вас і видалити їх? – ІНСТРУКЦІЯ

Діяльність одного з найбільших у світі фішингових сервісів для атак на фінансові установи різних країн припинили правоохоронці. Від фішингових атак цього сервісу, який створив та адміністрував 39-річний мешканець Тернопільщини, постраждали 11 країн світу.

Досліднику у галузі кібербезпеки вдалося зламати внутрішні системи понад 35 найбільших компаній, серед яких були Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Tesla та Uber. У цьому фахівцеві допомогла нова атака на ланцюжок поставок софту.

Для обходу захисних поштових шлюзів і фільтрів автори адресних фішингових листів використовують новаторський спосіб приховування шкідливого вмісту сторінки. Теги JavaScript, впроваджувані в HTML-код, шифруються з використанням азбуки Морзе.

Нове сімейство програм-вимагачів під назвою Vovalex поширюється через піратський софт, замаскований під популярні утиліти для Windows – наприклад, CCleaner. Одна цей шифрувальник має певну особливість, що відрізняє його від інших “шкідників” подібного класу.

Ця стаття Хакерська група LazyScripter атакує авіакомпанії раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим