Сирійська група загроз продає руйнівний SilverRAT

Група, що стоїть за складним трояном віддаленого доступу, SilverRAT, має зв’язки як з Туреччиною, так і з Сирією та планує випустити оновлену версію інструменту, щоб дозволити контролювати скомпрометовані системи Windows і пристрої Android.

Відповідно до аналізу загроз, опублікованого 3 січня, SilverRAT v1, який наразі працює лише в системах Windows, дозволяє створювати зловмисне програмне забезпечення для клавіатурних журналів і атак програм-вимагачів, а також містить деструктивні функції, такі як можливість видаляти точки відновлення системи, дослідники з Сінгапурська компанія Cyfirma зазначено в їх аналізі.

SilverRAT Builder підтримує різні функції

Згідно з аналізом Cyfirma, SilverRAT показує, що угруповання кіберзлочинців у регіоні стають все більш витонченими. Перша версія SilverRAT, вихідний код якої був злитий невідомими особами в жовтні, складається з конструктора, який дозволяє користувачеві створювати троян віддаленого доступу з певними функціями.

Більш цікаві функції, згідно з аналізом Cyfirma, включають використання або IP-адреси, або веб-сторінки для командування та контролю, обхід антивірусного програмного забезпечення, можливість видалення точок відновлення системи та відкладене виконання корисних навантажень.

Відповідно до аналізу Cyfirma, щонайменше два суб’єкти загрози — один використовує дескриптор «Dangerous silver», а другий — «Monstermc» — є розробниками як SilverRAT, так і попередньої програми S500 RAT. Хакери діють у Telegram і через онлайн-форуми, де вони продають зловмисне програмне забезпечення як послугу, поширюють зламані RAT від інших розробників і пропонують ряд інших послуг. Крім того, у них є блог і веб-сайт під назвою Anonymous Arabic.

«Є двоє людей, які керують SilverRAT, — каже Раджанс Пател, дослідник загроз із Cyfirma. «Нам вдалося зібрати фотографічні докази одного з розробників».

Починаючи з форумів

Група, що стоїть за шкідливим програмним забезпеченням, під назвою Anonymous Arabic, активна на близькосхідних форумах, таких як Turkhackteam, 1877, і принаймні на одному російському форумі.

На додаток до розробки SilverRAT, розробники групи пропонують розподілені атаки типу «відмова в обслуговуванні» (DDoS) на вимогу, говорить Кушик Пал, дослідник загроз із команди Cyfirma Research.

«Ми спостерігали певну активність Anonymous Arabic з кінця листопада 2023 року», — каже він. «Відомо, що вони використовують ботнет, який рекламується в Telegram і відомий як «BossNet», для проведення DDOS-атак на великі організації».

У той час як серед загроз на Близькому Сході домінували керовані та фінансовані державою хакерські групи в Ірані та Ізраїлі, доморощені групи, такі як Anonymous Arabic, продовжують домінувати на ринках кіберзлочинності. Постійний розвиток таких інструментів, як SilverRAT, підкреслює динамічний характер підпільних ринків у регіоні. 

Інформаційна панель SilverRAT для створення троянів. Джерело: Cyfirma

Хакерські групи на Близькому Сході, як правило, досить різноманітні, каже Сара Джонс, аналітик з аналізу кіберзагроз фірми Critical Start, яка керує виявленням і реагуванням, яка попереджає, що окремі хакерські групи постійно розвиваються, і узагальнення їхніх характеристик може бути проблематичним.

«Рівень технічної складності сильно відрізняється в різних групах на Близькому Сході», — каже вона. «Деякі підтримувані державою актори володіють розширеними можливостями, тоді як інші покладаються на простіші інструменти та методи».

Шлюз через ігрові хаки

З ідентифікованих членів групи Anonymous Arabic принаймні один є колишнім хакером ігор, згідно з даними, зібраними дослідниками Cyfirma, включаючи профіль Facebook, канал YouTube і публікації в соціальних мережах одного з хакерів — чоловіка в йому близько 20 років, він живе в Дамаску, Сирія, і почав займатися хакерством у підлітковому віці.

Профіль молодих хакерів, які намагаються знайти експлойти для ігор, виходить за межі спільноти хакерів на Близькому Сході. Підлітки, які починають свою хакерську кар’єру зі створення хаків для ігор або запуску атак типу «відмова в обслуговуванні» проти ігрових систем, стали трендом. Аріон Куртай, член група Lapsus$, починав як хакер Minecraft, а пізніше перейшов до хакерських цілей, таких як Microsoft, Nvidia та виробник ігор Rockstar.

«Ми можемо спостерігати схожу тенденцію з розробником SilverRAT», — каже Райханс Патель, дослідник загроз із Cyfirma, додаючи в аналізі загроз: «Перегляд попередніх публікацій розробника показує історію пропонування різноманітних ігор шутерів від першої особи (FPS). хаки та моди».

Рада з огляду кібербезпеки (CSRB) Міністерства внутрішньої безпеки США, яка проводить аналітичний аналіз основних хакерських атак, визначила, що безперервний перехід від неповнолітніх хакерів до кіберзлочинних компаній становить небезпеку для існування. Уряди та приватні організації повинні запровадити цілісні програми, щоб відвернути неповнолітніх від кіберзлочинності, CSRB виявив у її аналіз успіху групи Lapsus$ у нападі на «деякі з найбільш добре забезпечених ресурсами та добре захищених компаній світу».

Проте молоді програмісти та підлітки, які розуміються на техніці, також часто знаходять інші шляхи до кіберзлочинців, каже Джонс з Critical Start.

«Хакери, як і будь-яка група населення, — це різні люди з різними мотиваціями, навичками та підходами», — каже вона. «Хоча деякі хакери можуть починати зі злому ігор і переходити до більш серйозних інструментів і методів, ми часто виявляємо, що кіберзлочинці, як правило, націлюються на галузі та країни зі слабкішим кіберзахистом».

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.darkreading.com/cyberattacks-data-breaches/syrian-threat-group-peddles-destructive-silverrat