Активная кампания Sorillus RAT поражает европейские организации
Активная кампания с использованием троянца Sorillus угрожает европейским организациям
Специалисты Orange Cyberdefense CERT выявили масштабную вредоносную кампанию, нацеленную на европейские организации, которая, по всей видимости, ведётся группой хакеров с бразильским происхождением. В центре атаки находится широко распространённый троянец для удалённого доступа (RAT) под названием Sorillus, доступный с 2019 года как вредоносное ПО «как услуга» (Malware-as-a-Service).
Механизм атаки и методы заражения
Кампания начинается с рассылки фишинговых писем, чаще всего на французском языке, отправленных со взломанных доменов. Основной способ проникновения — вложения в формате .pdf, маскируемые под счета-фактуры. Пользователям предлагается перейти по ссылке на документ, размещённый в Microsoft OneDrive.
Далее ссылка перенаправляет жертву на вредоносный сервер, доступ к которому осуществляется через туннельные сервисы, такие как ngrok. На этом этапе выполняется проверка браузера и языковых настроек пользователя для определения дальнейших действий вредоносного ПО.
Вредоносное ПО распространяется в виде JAR-файла, содержащего Sorillus RAT, также известного среди исследователей как «Крысиная КРЫСА».
Технологические особенности Sorillus
- Файл
.jarсодержит встроенную конфигурацию, шифруемую с помощью AES ECB. - Троянец поддерживает несколько операционных систем: Linux, macOS, Windows, а последние версии совместимы даже с Android.
- Основная цель — сбор конфиденциальной информации с заражённых устройств.
- В различных модификациях Sorillus используются сложные схемы запутывания, чтобы затруднить анализ и обнаружение.
- В некоторых случаях в исходном коде присутствуют комментарии на португальском языке, что указывает на связь с бразильскими хакерами.
Эволюция и распространение вредоносного ПО
Троянец Sorillus был коммерчески доступен до недавнего времени, однако после вмешательства правоохранительных органов официальное продвижение приостановлено. Несмотря на это, взломанные версии продолжают распространяться, что облегчает использование RAT в финансово мотивированных атаках.
В предыдущих кампаниях источником атак также были фишинговые письма, но с разными способами доставки вредоносного ПО, включая архивы ZIP с файлом JAR или ссылки на удалённые сервисы, такие как MediaFire и GitHub. Для управления заражением применялись дополнительные посредники, например, загрузчик VBS с методами запутывания и кодирования, призванными скрыть вредоносную активность от средств безопасности.
Региональная адаптация и сложная приманка
Особенностью кампании является адаптация содержания приманок под язык и региональные особенности потенциальных жертв. Хакеры тщательно подбирают тексты сообщений и технические детали, чтобы повысить вероятность успешного заражения.
Данное расследование подчёркивает сложность и многоуровневость современных фишинговых атак с использованием Sorillus RAT, а также необходимость усиленной кибербезопасности в организациях, особенно в Европе.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
