Nová kampaň cílí na finanční a vojenské organizace

Bisonal

CactusPete, také známý jako Karma Panda či Tonto Teaь, která je klasifikována jako advanced persistent threat actor (APT), je kyberšpionážní skupina aktivní minimálně od roku 2012. Jejím členům se v tomto případě podařilo vylepšit jejich zadní vrátka tak, aby dokázali zacílit na představitele z vojenského a finančního sektoru ve východní Evropě. S nejvyšší pravděpodobností šlo o snahu získat důvěrné informace. Rychlost, s jakou navíc nové vzorky malwaru vznikají, naznačuje, že CactusPete se velmi rychle zdokonaluje, a vojenské i finanční organizace v tomto regionu by si měly být tohoto nebezpečí vědomi.

Tato nejčerstvější vlna aktivit byla poprvé zjištěna výzkumníky ze společnosti Kaspersky v únoru 2020, když odhalili aktualizovanou verzi zadních vrátek Bisonal. Všech tři sta vzorků se objevilo mezi březnem 2019 a dubnem 2020. To je zhruba 20 vzorků měsíčně, což podtrhuje fakt, že se CactusPete rozvíjí velmi rychle. Skupina postupem času vypilovala své dovednosti a získala přístup k sofistikovanějším kódům jako například ShadowPad v roce 2020.

Funkčnost škodlivého obsahu naznačuje, že kyberšpionážní skupina jde po vysoce citlivých informacích. Po instalaci na zařízení oběti umožňují zadní vrátka Bisonal skupině nepozorovaně spouštět různé programy, ukončovat veškeré procesy, nahrávat/stahovat/mazat soubory a načíst seznam dostupných disků. Navíc, čím hlouběji hackeři pronikají do napadeného systému, tím privilegovanější přihlašovací údaje získávají. To jim postupně umožňuje nad celým systémem získávat stále větší kontrolu.

Jak se v této nejnovější řadě útoků zadní vrátka do zařízení stáhnou není stále jasné. V předchozí akci skupina CactusPete primárně spoléhala a na spear-phishing s e-maily, které obsahovaly škodlivé přílohy. Otevřením přílohy došlo k infikování zařízení.

Napsat komentář