Експерти з кібербезпеки компанії Positive Technologies виявили суттєву трансформацію методів роботи відомого хакерського угруповання Dark Caracal. Група, що діє з 2012 року, перейшла на використання нового шкідливого інструменту – бекдору Poco RAT, що свідчить про значне оновлення її технічного потенціалу та можливостей.
Масштабна кампанія з використанням Poco RAT
Дослідження, проведене на початку 2024 року, виявило широкомасштабну кампанію із застосуванням Remote Access Trojan (RAT) нового покоління. Основними мішенями кіберзлочинців стали користувачі з іспаномовних країн – переважно Венесуели, Чилі, Домініканської Республіки та Колумбії. Poco RAT надає зловмисникам розширені можливості віддаленого контролю над інфікованими системами.
Інноваційні методи соціальної інженерії
Зловмисники впровадили вдосконалену тактику фішингових атак, використовуючи підроблені фінансові документи з навмисно розмитим зображенням. Такі файли успішно обходять традиційні системи антивірусного захисту. При відкритті документа автоматично завантажується архів формату .rev, який містить шкідливий дроппер Poco RAT.
Технічний аналіз та статистика поширення
За період з червня 2024 року виявлено 483 унікальних зразки Poco RAT, що значно перевищує кількість виявлених зразків попереднього інструменту групи – трояна Bandook (355 зразків). Технічний аналіз показав, що Poco RAT має схожу функціональність з Bandook та використовує аналогічну мережеву інфраструктуру, що підтверджує зв’язок з Dark Caracal.
Рекомендації щодо захисту
Організаціям рекомендується впровадити багаторівневу систему захисту, що включає:
– Регулярне оновлення систем безпеки
– Впровадження передових систем виявлення загроз
– Навчання співробітників з питань кібербезпеки
– Моніторинг підозрілої мережевої активності
Враховуючи історію цільових атак Dark Caracal на урядові структури, активістів та бізнес, модернізація інструментарію групи становить серйозну загрозу для глобальної кібербезпеки. Експерти рекомендують організаціям негайно оновити системи захисту та впровадити нові індикатори компрометації, пов’язані з Poco RAT, щоб мінімізувати ризики успішних атак.
