Positive Technologies
  • О компании
  • Новости
  • Исследователи Positive Technologies выявили новый бэкдор в арсенале группировки Dark Caracal
Новости

Исследователи Positive Technologies выявили новый бэкдор в арсенале группировки Dark Caracal

Под прицелом оказались корпоративные сети испаноязычных стран Латинской Америки

Киберпреступная группировка Dark Caracal, действующая с 2012 года, сменила инструментарий и тактику атак. К такому выводу пришли специалисты департамента Threat Intelligence экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC) в результате исследования вредоносного программного обеспечения Poco RAT. Ранее бэкдор не был атрибутирован к какой-либо известной группировке, однако дополнительный анализ атак позволил экспертам связать активность с Dark Caracal.

В течение 2024 года внутренними системами киберразведки PT Expert Security Center фиксировалась кампания с использованием вредоносного программного обеспечения Poco RAT — бэкдора, позволяющего удаленно управлять устройством жертвы. Атаки были направлены на испаноговорящих пользователей, о чем свидетельствуют язык фишинговых писем и содержание вредоносных вложений. Основными странами, из которых в публичные песочницы загружались образцы вредоноса, оказались Венесуэла, Чили, Доминиканская Республика и Колумбия. 

Человек получал письмо с уведомлением о необходимости оплатить квитанцию, а во вложении был документ-приманка, название которого имитировало финансовые взаимоотношения между жертвой и фишинговой организацией. Такие файлы-приманки не детектировались антивирусом и имели размытый (нечеткий) внешний вид, что побуждало неопытных пользователей открыть документ, после чего автоматически скачивался .rev-архив. Внутри него содержался дроппер1, название которого совпадало с названием документа-приманки, что укрепляло доверие жертвы. Основная задача дроппера — подготовить и запустить Poco RAT, не оставляя следов на диске. 

Dark Caracal по заказу взламывает правительственные и военные структуры, активистов, журналистов и коммерческие организации. Основным инструментом для совершения атак является троян удаленного доступа Bandook, который используется исключительно этой группировкой. 

Примечательно, что распространение семплов Bandook прекращается именно тогда, когда специалисты PT ESC начинают фиксировать образцы Poco RAT, имеющие функциональные сходства с предшественником и использующие схожую сетевую инфраструктуру.

«Мы предполагаем, что рассматриваемая кампания является продолжением деятельности группировки Dark Caracal и отражает ее попытки адаптироваться к современным методам защиты. В течение восьми месяцев (с июня 2024 года) было выявлено 483 вредоносных семпла Poco RAT — значительно больше, чем образцов Bandook, которых было обнаружено 355 в период с февраля 2023 по сентябрь 2024 года. Этот сдвиг может указывать на изменение тактики группировки и переход к массовым рассылкам с использованием нового ин...

Денис Казаков
Денис КазаковСпециалист группы киберразведки TI-департамента экспертного центра безопасности Positive Technologies

Продукты класса песочницы, а именно PT Sandbox, детектируют данный бэкдор. Сетевую активность вредоносного ПО Poco RAT и Bandook после компрометации компьютера также можно обнаружить при помощи продуктов класса NTA (Network Traffic Analysis), например, PT NAD. Продукты класса NGFW, такие как PT NGFW, также позволяют нарушить их связь с командным центром. Выявить и своевременно среагировать на подобного рода угрозы компаниям также помогают системы защиты конечных устройств от сложных и целевых атак, например MaxPatrol EDR, обучение сотрудников безопасному использованию электронной почты и противодействию методам социальной инженерии. Проверить, справятся ли средства защиты почты с атаками с использованием Poco RAT, компаниям поможет онлайн-сервис PT Knockin.

  1. Дроппер — ВПО, предназначенное для доставки на зараженное устройство другого вредоносного ПО и его скрытой установки.