Forwarded from SecAtor
Checkpoint рассказывают о новом пришествии трояна Bandook, которое в очередной раз подтверждает, что вредонос является частью инфраструктуры наемного актора, осуществляющего кибернаступательные операции по контракту в интересах разных спецслужб.
Выявленная кампания относится в периоду 2019-2020 годов и направлена на компании из различных отраслей, а также государственные структуры, Сингапура, Кипра, Чили, Италии, США, Швейцарии, Индонезии и Германии.
Непосредственно атака начинается с фишингового документа, содержащего вредоносный макрос, который подгружает загрузчик PowerShell. Загрузчик, в свою очередь, доставляет сам RAT Bandook. Это полноценный кибершпионский троян, содержащий все необходимые функции кибершпионажа - сбор системной информации, работу с файлами, возможность снимать скриншоты и пр.
Ранее Bandook был замечен в 2018 году в кампании Operation Manul, которая, по мнению Electronic Frontier Foundation (EFF), была направлена на казахских оппозиционеров и проводилась в интересах спецслужб Казахстана.
В 2019 году с помощью Bandook была проведена операция Dark Caracal, в рамках которой были эксфильтрированы сотни гигабайт информации, принадлежащей сотням жертв из 21 страны в Северной Америке, Европе и Азии. Тогда, согласно совместному расследованию Lookout и EFF, конечным бенефициаром киберкампании было Главное управление общей безопасности (GDGS) Ливана.
Исполнителем же всех этих кибератак считается некая третья сторона, работающая по контракту на различные правительства и спецслужбы. И хотя достоверно неизвестно кто это, в своем отчете 2018 года EFF предполагали возможную связь Bandook с двумя разведывательными компаниями - индийской Apin Security Group и швейцарской Arcanum Global Intelligence.
#APT #DarkCaracal
Выявленная кампания относится в периоду 2019-2020 годов и направлена на компании из различных отраслей, а также государственные структуры, Сингапура, Кипра, Чили, Италии, США, Швейцарии, Индонезии и Германии.
Непосредственно атака начинается с фишингового документа, содержащего вредоносный макрос, который подгружает загрузчик PowerShell. Загрузчик, в свою очередь, доставляет сам RAT Bandook. Это полноценный кибершпионский троян, содержащий все необходимые функции кибершпионажа - сбор системной информации, работу с файлами, возможность снимать скриншоты и пр.
Ранее Bandook был замечен в 2018 году в кампании Operation Manul, которая, по мнению Electronic Frontier Foundation (EFF), была направлена на казахских оппозиционеров и проводилась в интересах спецслужб Казахстана.
В 2019 году с помощью Bandook была проведена операция Dark Caracal, в рамках которой были эксфильтрированы сотни гигабайт информации, принадлежащей сотням жертв из 21 страны в Северной Америке, Европе и Азии. Тогда, согласно совместному расследованию Lookout и EFF, конечным бенефициаром киберкампании было Главное управление общей безопасности (GDGS) Ливана.
Исполнителем же всех этих кибератак считается некая третья сторона, работающая по контракту на различные правительства и спецслужбы. И хотя достоверно неизвестно кто это, в своем отчете 2018 года EFF предполагали возможную связь Bandook с двумя разведывательными компаниями - индийской Apin Security Group и швейцарской Arcanum Global Intelligence.
#APT #DarkCaracal
Check Point Research
Bandook: Signed & Delivered - Check Point Research
Introduction Check Point Research recently observed a new wave of campaigns against various targets worldwide that utilizes a strain of a 13-year old backdoor Trojan named Bandook. Bandook, which had almost disappeared from the threat landscape, was featured…