Эксперты департамента Threat Intelligence компании F6 обнаружили уникальные признаки, позволяющий связать кибершпионскую кампанию HollowQuill с уже известной группой FakeTicketer.
Напомним, что в марте этого года специалисты компании Seqrite Labs описали кибершпионскую кампанию, получившую название Operation HollowQuill. Атака была нацелена на российские промышленные предприятия. По данным исследователей, хакеры использовали файл, мимикрирующий под официальный документ, написанный от имени Балтийского государственного технического университета «ВОЕНМЕХ».
Заметим, что впервые эту активность обнаружили исследователи из Positive Technologies в конце 2024 года, а дополнительный анализ позволил специалистам F6 Threat Intelligence установить пересечения с деятельностью группы FakeTicketer. Злоумышленники действуют как минимум с июня 2024 года, основной их мотивацией, предположительно, является шпионаж, а среди целей были замечены промышленные организации, госорганы, спортивные функционеры.
Анализ вредоносных программ и инфраструктуры злоумышленников показал, что в кампании HollowQuill и у FakeTicketer обнаружены пересечения в коде дропперов и именовании доменов.
При более детальном анализе удалось выявить некоторые пересечения с вредоносной программой Zagrebator.Dropper, приписываемой группе FakeTicketer:
-
Оба дроппера (LazyOneLoader и Zagrebator.Dropper) написаны на C#.
-
Используют одинаковые названия иконок (“faylyk”).
Рис 2. Дроппер из кампании «HollowQuill» 
Рис 3. Семпл Zagrebator.Dropper (SHA1:b887758e4440f3fbde2f3426b7f2a26d4f505e9e -
Cхожее именование файлов и классов.
-
Файлы для дроппера и иконка хранятся в ресурсах. Дроппер читает данные из ресурсов и записывает ресурс в файл, используя один и тот же класс BinaryWrite.
-
Код для создания ярлыков практически идентичен (дроппер из кампании «HollowQuill» -рис.4, Zagrebator.Dropper — рис.5.)
Рис 4. 
Рис 5. -
В обоих случаях файлы OneDrive*.exe и OneDrive*.lnk используются для сокрытия активности(дроппер из кампании «HollowQuill» — рис.6, Zagrebator.Dropper — рис.7):
Рис 6. 
Рис 7.
Исследователи F6 обнаружили еще одно занимательное совпадение между ĸампанией
HollowQuill и группой FakeTicketer. В свое время, группа FakeTicketer зарегистрировала несĸольĸо доменов, используя одни и те же регистрационные данные (рис. 8). Один из них — phpsymfony[.]info, при этом в ĸампании HollowQuill использовался созвучный домен — phpsymfony[.]com в ĸачестве C2-сервера для Cobalt Strike.
![Рис 8. Граф сетевой инфраструктуры системы F6 Threat Intelligence, демонстрирующий связь домена phpsymfony[.]info с FakeTicketer](https://habrastorage.org/getpro/habr/upload_files/2f5/9fd/7a3/2f59fd7a3cb7826d53775dfe3ca47483.png "Рис 8. Граф сетевой инфраструктуры системы F6 Threat Intelligence, демонстрирующий связь домена phpsymfony[.]info с FakeTicketer")
По мнению эĸспертов F6 Threat Intelligence, найденные доĸазательства позволяют со
средней уверенностью приписать кампанию, именуемую HollowQuill, группе FakeTicketer.
ссылка на оригинал статьи https://habr.com/ru/articles/897066/
Добавить комментарий