Новости Water Curupira использует вредонос PikaBot для развёртывания вымогательского ПО

NewsMaker

I'm just a script
Премиум
14,594
22
8 Ноя 2022
Специалисты связывают данную активность с прекращением работы QakBot в августе.


t5jgervu33vxe7j6x8iaqio6h2u5p454.jpg


Компания Trend Micro зафиксировала активное распространение вредоносного ПО PikaBot группировкой Water Curupira. Операции начались в первом квартале 2023 года и продолжались до конца июня, а затем возобновились в сентябре.

PikaBot, используемый в фишинговых кампаниях, состоит из двух компонентов: загрузчика и основного модуля. Такая структура позволяет осуществлять несанкционированный удалённый доступ и выполнять произвольные команды через соединение с сервером управления с меньшим риском обнаружения.

Деятельность группировки Water Curupira пересекается с предыдущими кампаниями, использующими аналогичные тактики для доставки QakBot , осуществляемыми группами TA571 и TA577. Повышение активности PikaBot связывают с ликвидацией QakBot в августе, а также с появлением вредоноса DarkGate.

PikaBot, в основном выполняющий функцию загрузчика, запускает другие вредоносные программы, включая инструмент для постэксплуатационных действий Cobalt Strike , часто используемый перед непосредственным развёртыванием программ-вымогателей.

Тактика распространения PikaBot до боли проста и знакома: хакеры интегрируют вредоносные вложения в электронную почту, а их скачивание и запуск приводит к заражению компьютера вредоносным ПО.

Примечательно, что перед запуском цепочки заражения загрузчик проверяет язык операционной системы Windows и прерывает выполнение, если обнаруживает русский или украинский языки. Это наводит на некоторые мысли о возможном происхождении группировки Water Curupira.

Если компьютер можно атаковать, PikaBot собирает подробную информацию о системе жертвы и отправляет её на сервер управления в формате JSON. Цель вредоносных кампаний Water Curupira — развёртывание Cobalt Strike, что часто ведёт к последующему запуску вымогательского ПО Black Basta.

Кроме того, Trend Micro отмечает проведение Water Curupira ряда кампаний с использованием DarkGate и небольшого количества кампаний IcedID в начале третьего квартала 2023 года, после чего группа полностью перешла на использование PikaBot.
 
Источник новости
www.securitylab.ru

Похожие темы