Компания Positive Technologies выявила новую серию кибератак, проводимых хакерской группировкой PhaseShifters (также известной как Sticky Werewolf). Злоумышленники применяют продвинутые методы стеганографии для внедрения вредоносного кода в изображения и текстовые файлы, что позволяет им успешно обходить традиционные системы защиты.
Целевая направленность и методы атак
PhaseShifters специализируется на кибершпионаже, концентрируя свои усилия на организациях Восточной Европы. Основными целями становятся государственные учреждения, промышленные предприятия и исследовательские центры. Злоумышленники используют целенаправленный фишинг, рассылая электронные письма якобы от официальных лиц с просьбой ознакомиться и подписать документы.
Технические особенности вредоносной кампании
В ходе атак группировка распространяет различные типы вредоносного ПО, включая Rhadamanthys, DarkTrack RAT и Meta Stealer. Процесс заражения начинается с отправки защищенных паролем архивов, содержащих вредоносные файлы. При открытии этих документов запускаются скрипты, загружающие изображения со скрытой с помощью стеганографии вредоносной нагрузкой.
Связи с другими хакерскими группировками
Исследование показало интересные пересечения в методах работы PhaseShifters с другими известными группировками. В частности, техника стеганографии могла быть заимствована у группы TA558. Более того, аналогичные методы использует группировка UAC-0050, действующая в том же географическом регионе с 2020 года.
Общие технические индикаторы
Эксперты обнаружили, что PhaseShifters, TA558 и Blind Eagle используют идентичные обфускаторы и криптеры, распространяемые в даркнете. Об этом свидетельствуют одинаковая структура обфускации, схожие переменные в powershell-скриптах и использование аналогичных методов хранения вредоносной нагрузки.
По оценке специалистов Positive Technologies, существует высокая вероятность того, что PhaseShifters и UAC-0050 являются одной и той же группировкой, учитывая идентичность техник атак и схожие временные паттерны их проведения. Однако для окончательного подтверждения этой гипотезы требуется дальнейшее наблюдение и анализ их деятельности.
