Разоблачение Poco RAT: Новый уровень угроз от Dark Caracal

Разоблачение Poco RAT: Новый уровень угроз от Dark Caracal

В начале 2024 года Экспертный центр безопасности Positive Technologies (PT ESC) обнаружил образец вредоносного ПО под названием Poco RAT, связанным с хакерской группой Dark Caracal. Эта программа имеет широкий спектр шпионских возможностей, включая загрузку файлов, захват скриншотов и выполнение команд, что делает ее опасным инструментом для злоумышленников.

Методы атаки

В течение 2024 года PT ESC внимательно следила за кампанией, направленной на корпоративные сети. Основными методами атаки стали:

  • Фишинговые электронные письма с вредоносными вложениями на испанском языке;
  • Использование документов-приманок, замаскированных под записи финансовых транзакций;

Злоумышленники использовали такие документы, чтобы обойти антивирусные решения, так как они кажутся безобидными. При открытии этих документов жертвы перенаправлялись на загрузку архивов .rev с законных файлообменных сервисов. Эти архивы служили скрытыми контейнерами для вредоносных программ.

Скрытность и методы обфускации

После выполнения, Poco RAT использовался с помощью дроппера, встроенного в файл .rev. Он применял методы, обеспечивающие скрытность, избегающие видимых операций записи на диск, и внедрялся в законные процессы, такие как iexplore.exe и cttune.exe. Эти методы уклончивости были характерны для предыдущих тактик Dark Caracal.

Для усложнения обнаружения использовались:

  • Динамическое разрешение API;
  • Манипуляция адресами памяти;
  • Шифрование встроенных строк с помощью кодировок Twofish и Base64.

Poco RAT действует как бэкдор, предоставляя злоумышленникам полный доступ к скомпрометированным системам. Он способен:

  • Перемещаться по файловой системе;
  • Выполнять команды;
  • Делать снимки экрана;
  • Регулярно подключаться к серверам управления (C2) для получения инструкций.

Перед передачей собранных данных Poco RAT проверяет их в виртуализированных средах, избегая обнаружения. Вредоносная программа использует сжатие UPX, что позволяет сохранить небольшой объем — от 13 до 24 МБ за счет использования пакета библиотек POCO C++.

Географическая направленность атак

Дальнейшее расследование выявило серверы C2, которые использовали методы обфускации. Большинство захваченных образцов Poco RAT были получены из стран Латинской Америки, с особой распространенностью в:

  • Венесуэле;
  • Колумбии;
  • Чили.

Этот факт указывает на целенаправленный подход злоумышленников к испаноязычным регионам, связанный с местным языком и финансовыми связями, например, с банками Венесуэлы и Испании.

Заключение

Операции Dark Caracal традиционно охватывают широкий спектр целей — от государственных учреждений до частных организаций. Переход на Poco RAT свидетельствует о стремлении группы поддерживать эффективность в условиях меняющихся мер безопасности.

По данным анализа структуры трафика, наблюдаются заметные изменения в стратегии Dark Caracal, связанные с увеличением числа фишинговых атак и распространением вредоносного ПО. Этот паттерн подтверждает продолжение и эволюцию ландшафта угроз, отражая способность группы приспосабливаться для достижения своих целей.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: