Rhadamanthys: Στοχεύει τη βιομηχανία πετρελαίου και φυσικού αερίου
Ένα νέο κύμα εκστρατειών phishing που στοχεύουν στον τομέα του πετρελαίου και του φυσικού αερίου εμφανίστηκε, χρησιμοποιώντας μια ενημερωμένη έκδοση του κακόβουλου λογισμικού κλοπής πληροφοριών Rhadamanthys.
Ο ερευνητής του Cofense, Dylan Duncan, αποκάλυψε ότι αυτά τα phishing email χρησιμοποιούν ένα μοναδικό δέλεαρ που σχετίζεται με περιστατικά οχημάτων και παραπλανούν το Ομοσπονδιακό Γραφείο Μεταφορών σε ένα PDF για να ξεγελάσουν τους παραλήπτες. Τα μηνύματα ηλεκτρονικού ταχυδρομείου περιέχουν έναν κακόβουλο σύνδεσμο που οδηγεί σε ένα ψεύτικο έγγραφο PDF, το οποίο, κάνοντας κλικ, κατεβάζει ένα αρχείο ZIP που φέρει το ωφέλιμο φορτίο Rhadamanthys. Γραμμένο σε C++, το Rhadamanthys έχει σχεδιαστεί για να δημιουργεί συνδέσεις με έναν διακομιστή εντολών και ελέγχου για εξαγωγή ευαίσθητων δεδομένων από παραβιασμένους κεντρικούς υπολογιστές.
Αυτή η κακόβουλη καμπάνια εμφανίστηκε λίγο μετά την κατάργηση της ομάδας ransomware LockBit από τις αρχές επιβολής του νόμου. Η Trend Micro είχε εντοπίσει προηγουμένως μια παραλλαγή Rhadamanthys σε συνδυασμό με ένα ωφέλιμο φορτίο LockBit που είχε διαρρεύσει, υποδηλώνοντας μια πιθανή σύνδεση μεταξύ των δύο οικογενειών κακόβουλου λογισμικού. Επιπλέον, αναδύονται νέο κακόβουλο λογισμικό κλοπής πληροφοριών όπως το Sync-Scheduler και το Mighty Stealer, ενώ τα υπάρχοντα στελέχη όπως το StrelaStealer εξελίσσονται με βελτιωμένες τεχνικές συσκότισης. Επιπλέον, έχουν παρατηρηθεί καμπάνιες malspam που στοχεύουν στην Ινδονησία, οι οποίες διανέμουν κακόβουλο λογισμικό Agent Tesla για να κλέβουν ευαίσθητες πληροφορίες, όπως διαπιστευτήρια σύνδεσης και οικονομικά δεδομένα.
Η Check Point ανέδειξε ότι οι phishing καμπάνιες του Agent Tesla αποδίδονται στους πρωταγωνιστές απειλών αφρικανικής καταγωγής, Bignosa και Gods, οι οποίοι διανέμουν κακόβουλο λογισμικό μέσω του εργαλείου webmail RoundCube που προστατεύεται από την Cassandra Protector. Η ευκολία που προσφέρουν αυτές οι οικογένειες κακόβουλου λογισμικού για εγκληματικές ενέργειες στον κυβερνοχώρο υπογραμμίζει το χαμηλό κατώτατο όριο εισόδου για εκείνους που επιδιώκουν να ξεκινήσουν καμπάνιες ανεπιθύμητης αλληλογραφίας. Με βάση την Check Point, η εξάπλωση αυτών των οικογενειών κακόβουλου λογισμικού αναδεικνύει τη συνεχή πρόκληση που αντιμετωπίζουμε από τις κυβερνοαπειλές σε διάφορους τομείς, επιβεβαιώνοντας την ανάγκη για ισχυρά μέτρα ασφαλείας για την αποτελεσματική αντιμετώπιση των κινδύνων.
