A
Cardwork
Команда форума
Ofline
Компания Trend Micro зафиксировала активное распространение вредоносного ПО PikaBot группировкой Water Curupira. Операции начались в первом квартале 2023 года и продолжались до конца июня, а затем возобновились в сентябре.
PikaBot, используемый в фишинговых кампаниях, состоит из двух компонентов: загрузчика и основного модуля. Такая структура позволяет осуществлять несанкционированный удалённый доступ и выполнять произвольные команды через соединение с сервером управления с меньшим риском обнаружения.
Деятельность группировки Water Curupira пересекается с предыдущими кампаниями, использующими аналогичные тактики для доставки QakBot, осуществляемыми группами TA571 и TA577. Повышение активности PikaBot связывают с ликвидацией QakBot в августе, а также с появлением вредоноса DarkGate.
PikaBot, в основном выполняющий функцию загрузчика, запускает другие вредоносные программы, включая инструмент для постэксплуатационных действий Cobalt Strike, часто используемый перед непосредственным развёртыванием программ-вымогателей.
Тактика распространения PikaBot до боли проста и знакома: хакеры интегрируют вредоносные вложения в электронную почту, а их скачивание и запуск приводит к заражению компьютера вредоносным ПО.
Примечательно, что перед запуском цепочки заражения загрузчик проверяет язык операционной системы Windows и прерывает выполнение, если обнаруживает русский или украинский языки. Это наводит на некоторые мысли о возможном происхождении группировки Water Curupira.
Если компьютер можно атаковать, PikaBot собирает подробную информацию о системе жертвы и отправляет её на сервер управления в формате JSON. Цель вредоносных кампаний Water Curupira — развёртывание Cobalt Strike, что часто ведёт к последующему запуску вымогательского ПО Black Basta.
Кроме того, Trend Micro отмечает проведение Water Curupira ряда кампаний с использованием DarkGate и небольшого количества кампаний IcedID в начале третьего квартала 2023 года, после чего группа полностью перешла на использование PikaBot.
PikaBot, используемый в фишинговых кампаниях, состоит из двух компонентов: загрузчика и основного модуля. Такая структура позволяет осуществлять несанкционированный удалённый доступ и выполнять произвольные команды через соединение с сервером управления с меньшим риском обнаружения.
Деятельность группировки Water Curupira пересекается с предыдущими кампаниями, использующими аналогичные тактики для доставки QakBot, осуществляемыми группами TA571 и TA577. Повышение активности PikaBot связывают с ликвидацией QakBot в августе, а также с появлением вредоноса DarkGate.
PikaBot, в основном выполняющий функцию загрузчика, запускает другие вредоносные программы, включая инструмент для постэксплуатационных действий Cobalt Strike, часто используемый перед непосредственным развёртыванием программ-вымогателей.
Тактика распространения PikaBot до боли проста и знакома: хакеры интегрируют вредоносные вложения в электронную почту, а их скачивание и запуск приводит к заражению компьютера вредоносным ПО.
Примечательно, что перед запуском цепочки заражения загрузчик проверяет язык операционной системы Windows и прерывает выполнение, если обнаруживает русский или украинский языки. Это наводит на некоторые мысли о возможном происхождении группировки Water Curupira.
Если компьютер можно атаковать, PikaBot собирает подробную информацию о системе жертвы и отправляет её на сервер управления в формате JSON. Цель вредоносных кампаний Water Curupira — развёртывание Cobalt Strike, что часто ведёт к последующему запуску вымогательского ПО Black Basta.
Кроме того, Trend Micro отмечает проведение Water Curupira ряда кампаний с использованием DarkGate и небольшого количества кампаний IcedID в начале третьего квартала 2023 года, после чего группа полностью перешла на использование PikaBot.
Статистика форума
- Темы
- 31,630
- Пользователи
- 80,501
- Новый пользователь
- MnoioPralt
Пользователи онлайн
- CiKkzZ*
- horje
- frecg
- br4in
- svennebanan
- SpaceJams
- Funikuler
- TPOEN1239
- Ad!L
- gaymers
- assote
- urban_astronaut
- Dr.Slon
- enfoner
- autocheck420
- brainsaddam
- ponteleev
- ~Tony~
- worksmart47
- secvuln
- hustla
- neverSLEEP
- amorexpxp
- fdgfdg344
- sMee
- Яшка
- Andre521
- wisep
- ayavasca
- goor800
31,630Темы
307,130Сообщения
80,501Пользователи
MnoioPraltНовый пользователь