СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
12.05.2025
#ИБ#Инфра

Эволюция угроз: как Ratty обходит киберзащиту в Европе

Эволюция угроз: как Ratty обходит киберзащиту в Европе

Недавно выявленная кампания по электронной почте направлена на организации в Испании, Италии и Португалии и использует множество методов уклонения для распространения троянской программы удаленного доступа (RAT), известной как Ratty. Злоумышленники применяют законные механизмы, чтобы обойти меры безопасности и ввести пользователей в заблуждение.

Как работает кампания?

Эта кампания использует преимущества поставщика услуг электронной почты serviciodecorreo. При этом гарантируется успешное прохождение проверки SPF (Sender Policy Framework), что обманывает системы безопасности. Основные элементы кампании включают:

  • Электронные письма с вложениями, чаще всего в формате PDF или HTML.
  • Кнопка, предлагающая загрузить дополнительный контент. Эта кнопка ссылается на файл в Dropbox под названием «Fattura» (что означает «Счет-фактура»).
  • Техника социальной инженерии, привлекающая пользователей к скачиванию вредоносного контента.

Опасная полезная нагрузка

Вредоносная составляющая представляет собой jar-файл на основе Java, помеченный как «FA-43-03-2025.jar». Этот файл становится исполняемым лишь при наличии установленной Java Runtime Environment (JRE) на системе жертвы. Основные функции RAT включают:

  • Выполнение удаленных команд.
  • Перехват нажатий клавиш.
  • Снимки экрана.
  • Доступ к файлам на зараженной системе.
  • Управление оборудованием, таким как веб-камеры и микрофоны.

Методы уклонения от обнаружения

Кампания также успешно обходит традиционные меры безопасности с помощью Ngrok — инструмента, который создает безопасные временные URL-адреса для локальных серверов. Ключевой особенностью этого подхода является:

  • Фильтрация по геолокации, которая предоставляет различный контент в зависимости от места нахождения пользователя.
  • Пользователи из Италии получают доступ к вредоносному JAR-файлу, в то время как пользователи из других стран видят безобидный документ на Google Drive.

Заключение

Сложность этой кампании заключается в том, что она сочетает в себе элементы социальной инженерии, законные платформы для обмена файлами и изощренные методы распространения вредоносного ПО. Используя Ratty в качестве маскировки под законные документы или программное обновление, злоумышленники скрывают свои злонамеренные намерения еще более эффективно. Это подчеркивает меняющийся ландшафт хакерских атак и иллюстрирует, как злоумышленники используют надежные платформы и разнообразные стратегии для эффективного распространения вредоносных программ, что усложняет процесс их обнаружения для систем безопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: