Связи кибершпионажа Hollowquill с фальсификаторами FakeTicker
Источник: habr.com
Недавний отчет Департамента разведки угроз F6 выявил интересные связи между двумя кампаниями кибершпионажа — Hollowquill и FakeTicker. Оба случая связаны с использованием вредоносного ПО для атак на российские промышленные предприятия, в частности, с использованием дропперов, замаскированных под официальные документы.
Анализ вредоносного ПО
Кампания Hollowquill выбрала в качестве цели российские предприятия, применяя вредоносное ПО, которое, по всей видимости, замаскировано под документы Балтийского государственного технического университета «Военмех». Исследование показало, что:
- Операции Hollowquill и FakeTicker имеют схожие черты в коде вредоносного ПО.
- Обе кампании используют дропперы, написанные на C#.
- Дроппер от Hollowquill называется Lazyoneloader, тогда как версия FakeTicker известна как Zagrebator.dropper.
Сходства в коде и структуре
Одной из ключевых отличительных особенностей является то, что оба дроппера:
- Используют одинаковое название значка — «Файлик».
- Содержат схожие структуры кодирования.
Оба дроппера хранят файлы в ресурсе и используют класс BinaryWrite для извлечения данных, демонстрируя почти идентичное поведение. Особое внимание привлекает метод создания ярлыков, что может указывать на общую разработку или использование аналогичных инструментов.
Скрытая тактика и регистрация доменов
Оперативные тактики обеих групп также подчеркивают их стремление скрыть свою деятельность с помощью имен файлов, таких как OneDrive*.exe и OneDrive*.LNK. Кроме того, исследователи заметили совпадения в регистрационных данных доменов:
- Группа FakeTicker зарегистрировала домены, такие как Nesolo.
- Hollowquill использовала домен с похожим названием Phpsymfony.com, связанный с сервером управления Cobalt Strike.
Эти сопоставления подтверждают существующие доказательства о связи между двумя группами.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
