Хакер Faketicketer проводит целенаправленные шпионские атаки на чиновников и спортивных функционеров
Департамент киберразведки F.A.C.C.T. обнародовал результаты расследования серии сложных кибератак, начавшихся не позднее июня 2024 года. Главным обвиняемым в данных инцидентах стал хакер под прозвищем Faketicketer, который специализируется на шпионских атаках с использованием высокотехнологичных методов социальной инженерии и вредоносного ПО.
Суть и цели атак
По данным отчёта, основным мотивом действий Faketicketer является сбор информации с целью шпионажа. Основные цели атак — официальные лица и спортивные функционеры, что указано как на характере компрометируемых данных, так и на способах доставки вредоносного ПО.
В качестве приманки злоумышленник изначально использовал рекламу билетов на спортивные события российского уровня, такие как матчи Российской футбольной премьер-лиги и регаты по академической гребле. Постепенно фокус атаки сместился на более сложные и убедительные фишинговые сообщения.
Тактики и инструменты злоумышленника
- Методы распространения: рассылка писем с прикреплёнными архивами, в которых содержались исполняемые файлы, замаскированные под тематические документы и билеты.
- Вредоносное ПО: троян удалённого доступа (RAT) с кодовым названием Zagrebator, а также специализированный дроппер, способный красть данные из различных веб-браузеров.
- Эволюция фишинговых приманок:Изначально — документы, выдаваемые за билеты на спортивные мероприятия.
В октябре 2024 — поддельный отсканированный школьный аттестат.
В декабре 2024 — административные документы от администрации Симферополя.
Особенности последней волны атак
В декабре 2024 года была обнаружена обновлённая версия Zagrebator.dropper, значительно расширившая функционал вредоносного ПО:
- Сбор данных для проверки подлинности с основных веб-браузеров (Mozilla, Opera, Microsoft Edge, Chrome).
- Рекурсивное извлечение файлов с рабочего стола и других целевых каталогов пользователя.
- Передача собранных данных на сервер управления (C2) через HTTPS с использованием метода PUT.
- Проверка каждой отправляемой единицы данных по хэшу для исключения дублирования и повышения эффективности передачи.
Значение и выводы
Использование Faketicketer специально разработанных вредоносных инструментов повышает уровень скрытности атак и позволяет обходить многие существующие механизмы обнаружения. Это говорит об изощрённости методов, применяемых злонамеренным субъектом, а также о росте киберугроз, ориентированных на получение конфиденциальной информации из государственного сектора и спортивной среды.
Эксперты F.A.C.C.T. подчёркивают, что подобные атаки представляют собой нарастающий риск как для государственных структур, так и для организаций с высокой степенью общественной значимости, требуя постоянного мониторинга и своевременной адаптации защитных мер.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Расследование атак Faketicketer: современный шпионский киберугрозы 2024".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.