СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
30.04.2025
#ИБ#Инфра

Угрозы от киберфронта: анализ APT-группы Golden Rat

Угрозы от киберфронта: анализ APT-группы Golden Rat

Источник: mp.weixin.qq.com

Недавний отчет указывает на активность APT-группы APT-C-27, также известной как организация Golden Rat. Эта группа демонстрирует использование сложных методов киберопераций, включая новое оборудование и тактики, которые ставят под угрозу пользователей цифровых устройств.

Использование командно-контрольного сервера

Согласно информации, APT-C-27 использует командно-контрольный сервер (C2), связанный с IP-адресом 31.9.48.183, который имеет отношение к телекоммуникациям в Сирии. Этот сервер служит центром для управления атаками и сбора данных с зараженных устройств.

История и фокус группы

Организация «Золотая крыса» ведет активную деятельность с 2014 года, фокусируясь на:

  • оппозиционных группировках в Сирии,
  • соседних странах.

Однако недавние операции показали изменение направления группы — с переходом на платформы Android они вновь сосредоточились на Windows.

Методы атаки и вредоносный код

В ходе своих последних операций, злоумышленники внедрили вредоносную полезную нагрузку, замаскированную под файл clean new.exe. Эта программа использует:

  • передовые методы уклонения;
  • динамическое выполнение вредоносного кода в памяти для избежания обнаружения;

Идентифицируемая как Revenge-RAT, эта вредоносная программа использует методы замены байтов для сокрытия и расшифровки своей истинной функциональности при запуске. После активации троян создает новый поток для восстановления и выполнения кода, включая методы отложенного привязывания, такие как LateBinding.LateSet и LateBinding.LateGet.

Угроза сбора данных

После подключения к серверу C2, RAT способен выполнять масштабные операции, включая:

  • кражу данных,
  • доступ к конфиденциальной информации.

Конфигурация Revenge-RAT также содержит важные данные, касающиеся сетевой инфраструктуры группы.

Рекомендации по безопасности

Для защиты от подобных угроз эксперты рекомендуют следующие меры:

  • осмотреть файлы и ссылки, полученные через социальные сети;
  • загружать приложения только с официальных платформ;
  • проводить регулярные тренинги по безопасности для сотрудников;
  • поддерживать современные операционные системы и безопасность программного обеспечения.

Полученные данные подчеркивают необходимость постоянной бдительности в отношении угроз от хакеров, использующих сложные методы уклонения от ответственности и контроля.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: