A
Cardwork
Команда форума
Ofline
Компания Trend Micro зафиксировала активное распространение вредоносного ПО PikaBot группировкой Water Curupira. Операции начались в первом квартале 2023 года и продолжались до конца июня, а затем возобновились в сентябре.
PikaBot, используемый в фишинговых кампаниях, состоит из двух компонентов: загрузчика и основного модуля. Такая структура позволяет осуществлять несанкционированный удалённый доступ и выполнять произвольные команды через соединение с сервером управления с меньшим риском обнаружения.
Деятельность группировки Water Curupira пересекается с предыдущими кампаниями, использующими аналогичные тактики для доставки QakBot, осуществляемыми группами TA571 и TA577. Повышение активности PikaBot связывают с ликвидацией QakBot в августе, а также с появлением вредоноса DarkGate.
PikaBot, в основном выполняющий функцию загрузчика, запускает другие вредоносные программы, включая инструмент для постэксплуатационных действий Cobalt Strike, часто используемый перед непосредственным развёртыванием программ-вымогателей.
Тактика распространения PikaBot до боли проста и знакома: хакеры интегрируют вредоносные вложения в электронную почту, а их скачивание и запуск приводит к заражению компьютера вредоносным ПО.
Примечательно, что перед запуском цепочки заражения загрузчик проверяет язык операционной системы Windows и прерывает выполнение, если обнаруживает русский или украинский языки. Это наводит на некоторые мысли о возможном происхождении группировки Water Curupira.
Если компьютер можно атаковать, PikaBot собирает подробную информацию о системе жертвы и отправляет её на сервер управления в формате JSON. Цель вредоносных кампаний Water Curupira — развёртывание Cobalt Strike, что часто ведёт к последующему запуску вымогательского ПО Black Basta.
Кроме того, Trend Micro отмечает проведение Water Curupira ряда кампаний с использованием DarkGate и небольшого количества кампаний IcedID в начале третьего квартала 2023 года, после чего группа полностью перешла на использование PikaBot.
PikaBot, используемый в фишинговых кампаниях, состоит из двух компонентов: загрузчика и основного модуля. Такая структура позволяет осуществлять несанкционированный удалённый доступ и выполнять произвольные команды через соединение с сервером управления с меньшим риском обнаружения.
Деятельность группировки Water Curupira пересекается с предыдущими кампаниями, использующими аналогичные тактики для доставки QakBot, осуществляемыми группами TA571 и TA577. Повышение активности PikaBot связывают с ликвидацией QakBot в августе, а также с появлением вредоноса DarkGate.
PikaBot, в основном выполняющий функцию загрузчика, запускает другие вредоносные программы, включая инструмент для постэксплуатационных действий Cobalt Strike, часто используемый перед непосредственным развёртыванием программ-вымогателей.
Тактика распространения PikaBot до боли проста и знакома: хакеры интегрируют вредоносные вложения в электронную почту, а их скачивание и запуск приводит к заражению компьютера вредоносным ПО.
Примечательно, что перед запуском цепочки заражения загрузчик проверяет язык операционной системы Windows и прерывает выполнение, если обнаруживает русский или украинский языки. Это наводит на некоторые мысли о возможном происхождении группировки Water Curupira.
Если компьютер можно атаковать, PikaBot собирает подробную информацию о системе жертвы и отправляет её на сервер управления в формате JSON. Цель вредоносных кампаний Water Curupira — развёртывание Cobalt Strike, что часто ведёт к последующему запуску вымогательского ПО Black Basta.
Кроме того, Trend Micro отмечает проведение Water Curupira ряда кампаний с использованием DarkGate и небольшого количества кампаний IcedID в начале третьего квартала 2023 года, после чего группа полностью перешла на использование PikaBot.
Статистика форума
- Темы
- 31,626
- Пользователи
- 80,435
- Новый пользователь
- Doctortut
Пользователи онлайн
- Doctortut
- viollet4u
- efxforlife
- dealkill
- kazuya23
- royangel
- bg.
- Igor
- lilbuno
- kokopopseater
- aferdOk
- LOOX
- novik
- talhaariif
- Jaison
- liubutu
- GNR
- trebone
- Horrifical
- banana1988
- ricke
- Dolv
- quake2
- SeregaPump
- djbob
- julien
- boss.ru
- Villaega
- capello
- ishmailcvv
31,626Темы
307,112Сообщения
80,435Пользователи
DoctortutНовый пользователь