ГРУППА ПОЗИТИВ [новости]
АКЦИИ РФ
Positive Technologies выявила новую APT-группировку с финансовыми целями
12
<strong>Positive Technologies выявила новую APT-группировку с финансовыми целями.</strong> Эксперты из киберразведывательного центра Positive Technologies (PT Expert Security Center) обнаружили и отслеживали APT-группировку под названием DarkGaboon. Данная группировка, нацеленная на финансовое мошенничество, использует вредоносную программу Revenge RAT и шаблоны финансовых документов, загружаемые с авторитетных российских ресурсов. DarkGaboon осуществляет атаки на финансовые подразделения компаний в России, начиная как минимум с мая 2023 года. В середине октября 2024 года специалисты PT Expert Security Center заметили таргетированную кампанию по рассылке Revenge RAT сотрудникам одного из российских банков. Атака началась с отправки электронного письма, в котором содержался грамотно составленный текст на русском языке и архив с вредоносным ПО. Основываясь на многолетнем опыте, эксперты пришли к выводу, что новая группировка имеет финансовые цели, что подтверждается бухгалтерским содержанием всех вредоносных файлов. Аналогичные признаки киберпреступной деятельности ранее наблюдались у другой финансово мотивированной группы RTM. В ходе исследования было установлено, что подобная активность в отношении российских организаций прослеживается как минимум с мая 2023 года. При этом злоумышленники использовали серверный кластер под названием «rampage», в то время как в октябре 2024 года переключились на «kilimanjaro». Группировка долго оставалась в тени, но в августе 2024 года их инфраструктура была скомпрометирована после появления в фидах с индикаторами компрометации от ФинЦЕРТ, что могло привести к смене используемой инфраструктуры. Целью DarkGaboon являются финансовые структуры российских компаний. Это подтверждается тем, что почти половина всех загрузок вредоносного ПО на публичные сервисы идет из России. Кроме того, злоумышленники подписывают вредоносные программы поддельными сертификатами X.509, якобы выданными на имена российских организаций, и демонстрируют хорошее знание особенностей русского языка и культуры. В результате расследования было установлено, что среди жертв группировки оказались банки, крупные торговые сети, спортивные и туристические объекты, а также компании из сферы услуг. <em>Источник: www.ptsecurity.com</em>
0
