Хакеры группы PhaseShifters проводят атаки против российских организаций с применением стеганографии

Эксперты по кибербезопасности компании Positive Technologies сообщили о выявлении новых сценариев атак, которые направлены на отечественные государственные структуры, производственные организации и исследовательские центры. Жертвами этих хакерских атак со стороны группировки PhaseShifters уже стали несколько десятков организаций.

По словам экспертов, хакеры применяют набирающую популярность методику стеганографии, с помощью которой у злоумышленников есть возможность скрывать вредоносное программное обеспечение в пересылаемых картинках и текстовых файлах. Специалисты Positive Technologies заявляют, что хакеры практически полностью повторяют сценарий кибератак, известный хакерской группе TA558, о деятельности которой уже сообщалось в начале 2024 года.

Стеганография — это метод сокрытия информации внутри другого носителя так, чтобы её существование оставалось незамеченным. В контексте применения хакерами стеганография используется для скрытой передачи данных, чтобы обойти системы обнаружения и мониторинга.

В ходе проведения киберпреступных атак злоумышленники из группировки PhaseShifters применяют фишинг. В частности, хакеры рассылают огромное количество электронных писем якобы из официальных источников в российские организации с просьбой к получателям ознакомиться с представленным документом и подписать его. Если пользователь открывает этот документ на своём компьютере, то на устройстве начинается автоматическая загрузка вредоносного программного обеспечения. Чаще всего это вредоносы типа Rhadamanthys, DarkTrack RAT, Meta Stealer, предназначенные для получения контроля над заражённым устройством и кражи с него большого количества различных конфиденциальных данных.

Недавно выявленные кибератаки начинались с рассылки фишинговых писем, которые содержали вложения в виде архивов, защищённых паролем, с вредоносными файлами внутри. В ходе исследования было изучено множество документов, среди которых встречались, к примеру, «резюме» и «дополнительные соглашения для подписи». При открытии этих файлов на устройства жертв загружались скрипты, выполнявшие загрузку изображений, внутри которых с применением стеганографии скрывалась полезная нагрузка.

Эксперты считают, что группа PhaseShifters могла позаимствовать этот метод у группировки TA558, которая в настоящее время проводит атаки на различные организации по всему миру. Дополнительный анализ цепочек атак позволил исследователям сделать ещё более интересное заключение. Выяснилось, что данную технику и тот же криптер использует группировка UAC-0050 (UAC-0096), которая, по информации ряда экспертов, с 2020 года атакует организации в России, Украине, Польше, Белоруссии, Молдове и странах Прибалтики.