Армянские организации пострадали от новой версии шпионского инструмента OxtaRAT

Организации в Армении подверглись кибератаке с использованием обновленной версии бэкдора под названием OxtaRAT, который обеспечивает удаленный доступ и наблюдение за рабочим столом.

В отчете Check Point Research говорится:

«Возможности инструмента включают в себя поиск и извлечение файлов с зараженной машины, запись видео с веб-камеры и рабочего стола, удаленное управление скомпрометированной машиной с помощью TightVNC, установку веб-шелла, сканирование портов и многое другое».

Сообщается, что последняя кампания началась в ноябре 2022 года и знаменует собой первый случай, когда стоящие за этой деятельностью субъекты угрозы расширили свое внимание за пределы Азербайджана.

Эксперты Operation Silent Watch отметили, что угроза, стоящая за этими атаками, уже несколько лет нацелена на правозащитные организации, диссидентов и независимые СМИ в Азербайджане.

Началом атаки является самораспаковывающийся архив, который имитирует файл PDF и имеет значок PDF. Запуск предполагаемого «документа» открывает файл-приманку, а также скрытно выполняет вредоносный код, скрытый внутри изображения.

Файл полиглота, который сочетает в себе скомпилированный сценарий AutoIT и изображение, OxtaRAT содержит команды, которые позволяют субъекту угрозы:

• запускать дополнительные команды и файлы,
• собирать конфиденциальную информацию,
• выполнять разведку и наблюдение с помощью веб-камеры и даже поворачиваться к другим.

OxtaRAT использовался злоумышленниками еще в июне 2021 года.

Атака в ноябре 2022 года также выделяется по ряду причин. Во-первых, файлы .SCR, которые активируют цепочку уничтожения, уже содержат имплант OxtaRAT, а не действуют как загрузчик для загрузки вредоносного ПО. Во-вторых, географическая привязка доменов управления и контроля (C2), на которых размещены вспомогательные инструменты, к армянским IP-адресам.

OxtaRAT способна запускать команды для сканирования портов и проверки скорости интернет-соединения, последнее из которых, вероятно, используется как способ скрыть «обширную» утечку данных.

Специалисты Check Point сообщили:

«OxtaRAT теперь может использоваться в качестве опорной точки для активной разведки других устройств.

То есть субъекты угрозы готовятся расширить свой основной вектор атаки, который в настоящее время является социальной инженерией, на атаки на основе инфраструктуры. Это также может быть признаком того, что субъекты переходят от нацеливания на отдельных лиц на более сложные или корпоративные среды».