“Unfurling Hemlock” розгорнув зловмисне програмне забезпечення на десятках тисяч систем по всьому світу, вклавши кілька шкідливих файлів в інші шкідливі файли.
Фінансово вмотивований східноєвропейський загрозливий актор під назвою «Unfurling Hemlock» використовує кібереквівалент касетної бомби, щоб скинути до 10 унікальних файлів шкідливого програмного забезпечення одночасно на системи, що належать окремим особам у США, Німеччині, Росії та багатьох інших країнах.
Підхід зловмисника по суті передбачає використання стислих файлів Microsoft Cabinet (CAB), вкладених в інші стислі файли CAB — іноді до семи — для розповсюдження різноманітних викрадачів інформації та завантажувачів зловмисного програмного забезпечення в системах-жертвах.
Поширене розповсюдження зловмисного ПЗ касетної бомби
За даними дослідників OutPost24, принаймні з лютого 2023 року зловмисник поширив таким чином сотні тисяч файлів шкідливого програмного забезпечення в системах, що належать приблизно 50 000 користувачів у всьому світі. Використане шкідливе програмне забезпечення включає викрадачі інформації, такі як Mystic Stealer, Rise Pro та Redline; і навантажувачі, такі як SmokeLoader і Amadey.
Аналіз KrakenLabs показав, що Unfurling Hemlock розповсюджує принаймні деякі зловмисне програмне забезпечення та завантажувачі від імені інших груп загроз, і в той же час він також використовує інші групи для розповсюдження власних касетних бомб.
На основі зразків зловмисного програмного забезпечення, завантажених у VirusTotal, більше половини (50,8%) систем, які наразі заразив зловмисник, здається, розташовані в США.
«Ми назвали актора «розгорнутим болиголовом», тому що розповсюджені ним зразки діють як свого роду «касетна бомба» зловмисного програмного забезпечення. де один зразок розгортається для поширення кількох зразків зловмисного програмного забезпечення під час зараження своїх жертв», – написав у блозі дослідник загроз Outpost24 Гектор Гарсія. «Здається, це дуже ретельна спроба охопити всі основи та максимізувати користь».
Решта статті була заблокована. Щоб продовжити читання, увійдіть.