
Эксперты F6 установили связь между атакой на российские предприятия от имени «ВОЕНМЕХа» и кибершпионами FakeTicketer
Эксперты департамента Threat Intelligence компании F6 обнаружили уникальные признаки, позволяющий связать кибершпионскую кампанию HollowQuill с уже известной группой FakeTicketer.
Напомним, что в марте этого года специалисты компании Seqrite Labs описали кибершпионскую кампанию, получившую название Operation HollowQuill. Атака была нацелена на российские промышленные предприятия. По данным исследователей, хакеры использовали файл, мимикрирующий под официальный документ, написанный от имени Балтийского государственного технического университета "ВОЕНМЕХ".
Заметим, что впервые эту активность обнаружили исследователи из Positive Technologies в конце 2024 года, а дополнительный анализ позволил специалистам F6 Threat Intelligence установить пересечения с деятельностью группы FakeTicketer. Злоумышленники действуют как минимум с июня 2024 года, основной их мотивацией, предположительно, является шпионаж, а среди целей были замечены промышленные организации, госорганы, спортивные функционеры.
Анализ вредоносных программ и инфраструктуры злоумышленников показал, что в кампании HollowQuill и у FakeTicketer обнаружены пересечения в коде дропперов и именовании доменов.
При более детальном анализе удалось выявить некоторые пересечения с вредоносной программой Zagrebator.Dropper, приписываемой группе FakeTicketer:
Оба дроппера (LazyOneLoader и Zagrebator.Dropper) написаны на C#.
Используют одинаковые названия иконок (“faylyk”).
Cхожее именование файлов и классов.
Файлы для дроппера и иконка хранятся в ресурсах. Дроппер читает данные из ресурсов и записывает ресурс в файл, используя один и тот же класс BinaryWrite.
Код для создания ярлыков практически идентичен (дроппер из кампании "HollowQuill" -рис.4, Zagrebator.Dropper - рис.5.)
В обоих
Читать на habr.com
