Разоблачение Poco RAT: Новый уровень угроз от Dark Caracal

В начале 2024 года Экспертный центр безопасности Positive Technologies (PT ESC) обнаружил образец вредоносного ПО под названием Poco RAT, связанным с хакерской группой Dark Caracal. Эта программа имеет широкий спектр шпионских возможностей, включая загрузку файлов, захват скриншотов и выполнение команд, что делает ее опасным инструментом для злоумышленников.
Методы атаки
В течение 2024 года PT ESC внимательно следила за кампанией, направленной на корпоративные сети. Основными методами атаки стали:
- Фишинговые электронные письма с вредоносными вложениями на испанском языке;
- Использование документов-приманок, замаскированных под записи финансовых транзакций;
Злоумышленники использовали такие документы, чтобы обойти антивирусные решения, так как они кажутся безобидными. При открытии этих документов жертвы перенаправлялись на загрузку архивов .rev с законных файлообменных сервисов. Эти архивы служили скрытыми контейнерами для вредоносных программ.
Скрытность и методы обфускации
После выполнения, Poco RAT использовался с помощью дроппера, встроенного в файл .rev. Он применял методы, обеспечивающие скрытность, избегающие видимых операций записи на диск, и внедрялся в законные процессы, такие как iexplore.exe и cttune.exe. Эти методы уклончивости были характерны для предыдущих тактик Dark Caracal.
Для усложнения обнаружения использовались:
- Динамическое разрешение API;
- Манипуляция адресами памяти;
- Шифрование встроенных строк с помощью кодировок Twofish и Base64.
Poco RAT действует как бэкдор, предоставляя злоумышленникам полный доступ к скомпрометированным системам. Он способен:
- Перемещаться по файловой системе;
- Выполнять команды;
- Делать снимки экрана;
- Регулярно подключаться к серверам управления (C2) для получения инструкций.
Перед передачей собранных данных Poco RAT проверяет их в виртуализированных средах, избегая обнаружения. Вредоносная программа использует сжатие UPX, что позволяет сохранить небольшой объем — от 13 до 24 МБ за счет использования пакета библиотек POCO C++.
Географическая направленность атак
Дальнейшее расследование выявило серверы C2, которые использовали методы обфускации. Большинство захваченных образцов Poco RAT были получены из стран Латинской Америки, с особой распространенностью в:
- Венесуэле;
- Колумбии;
- Чили.
Этот факт указывает на целенаправленный подход злоумышленников к испаноязычным регионам, связанный с местным языком и финансовыми связями, например, с банками Венесуэлы и Испании.
Заключение
Операции Dark Caracal традиционно охватывают широкий спектр целей — от государственных учреждений до частных организаций. Переход на Poco RAT свидетельствует о стремлении группы поддерживать эффективность в условиях меняющихся мер безопасности.
По данным анализа структуры трафика, наблюдаются заметные изменения в стратегии Dark Caracal, связанные с увеличением числа фишинговых атак и распространением вредоносного ПО. Этот паттерн подтверждает продолжение и эволюцию ландшафта угроз, отражая способность группы приспосабливаться для достижения своих целей.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



