СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
23.04.2025
#ИБ#Инфра

Возрождение APT-C-27: угрозы Revenge-RAT и способы защиты

Возрождение APT-C-27: угрозы Revenge-RAT и способы защиты

APT-C-27, более известный как Golden Rat, представляет собой хакера, действующего преимущественно на Ближнем Востоке. Основной целью этой группы стали оппозиционные организации в Сирии, Турции и соседних регионах. За период с 2014 года, когда начались кибероперации Golden Rat, произошло значительное изменение в их тактиках.

Изменение векторов атак

С 2014 по 2019 годы группа активно нацеливалась на системы Windows, однако к 2019 году они изменили свои стратегии, переключившись на мобильные платформы Android. Это привело к временному снижению их активности в атаке на ПК. Однако в декабре 2024 года появились новые индикаторы, указывающие на возрождение возможностей, нацеленных на вредоносные программы для ПК.

Технический анализ вредоносного ПО

В ответ на эти угрозы, 360 Advanced Threat Research Institute провело оперативный технический анализ и выявило вредоносную программу, которая представляет собой исполняемый файл Windows, получивший название clean new.exe. Этот файл скрывает свою настоящую вредоносную нагрузку в ресурсах.

Вредоносная нагрузка представляет собой троян удаленного доступа (RAT), известный как Revenge-RAT. Это ПО предназначено для установления соединения с сервером управления (C2) после расшифровки с помощью различных методов обфускации, включая замену символов.

Функции Revenge-RAT

После запуска, Revenge-RAT использует методы динамического вызова памяти, такие как:

  • LateBinding.LateSet
  • LateBinding.LateGet
  • LateBinding.LateCall

Эти методы позволяют ему извлекать необходимые процедуры из встроенных вредоносных компонентов. Основные функции Revenge-RAT включают:

  • Кражу конфиденциальной информации
  • Выполнение команд с сервера C2 после установления соединения

Рекомендации по обеспечению безопасности

Для снижения рисков, связанных с подобными угрозами, эксперты рекомендуют следующие меры:

  • Проявлять повышенную бдительность при передаче файлов через социальные платформы, особенно из ненадежных источников.
  • Загружать программное обеспечение исключительно с официальных платформ.
  • Проводить тщательное сканирование с помощью средств защиты, таких как 360 Security Guard, для обнаружения потенциальных вредоносных программ.
  • Регулярно обучать сотрудников вопросам безопасности, чтобы повысить их способность распознавать попытки фишинга и подозрительные взаимодействия.
  • Своевременно обновлять операционные системы и все программное обеспечение, включая критические исправления для системы безопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: