Експерти з кібербезпеки компанії Positive Technologies виявили масштабну кампанію цільових кібератак, що проводиться новим хакерським угрупованням PhaseShifters (також відомим як Sticky Werewolf). Зловмисники застосовують витончені методи стеганографії для маскування шкідливого програмного забезпечення в звичайних файлах, що дозволяє їм ефективно обходити традиційні системи захисту.
Методологія та цілі кібератак
Основною спеціалізацією PhaseShifters є промислове кібершпигунство, спрямоване на організації Східної Європи. Під прицілом опинилися державні установи, промислові підприємства та науково-дослідні центри. Зловмисники використовують таргетований фішинг, надсилаючи електронні листи з підробленими документами, що нібито потребують термінового розгляду та підпису.
Технічний аналіз шкідливого інструментарію
В ході дослідження виявлено, що група активно використовує різні типи шкідливого ПЗ, включаючи Rhadamanthys, DarkTrack RAT та Meta Stealer. Процес компрометації починається з розсилки захищених паролем архівів. При відкритті файлів активуються приховані скрипти, які завантажують зображення зі вбудованим за допомогою стеганографії шкідливим кодом.
Зв’язки з іншими кіберзлочинними угрупованнями
Аналітики відзначають значні збіги в тактиках, техніках та процедурах (TTP) між PhaseShifters та іншими відомими хакерськими групами. Особливу увагу привертає схожість методів стеганографії з технікою групи TA558. Крім того, виявлено паралелі з діяльністю угруповання UAC-0050, яке оперує в тому ж регіоні з 2020 року.
Технічні індикатори компрометації
Дослідження показало, що PhaseShifters, TA558 та Blind Eagle використовують ідентичні інструменти обфускації та криптування, доступні на тіньових форумах. Це підтверджується однаковою структурою обфускованого коду, подібними змінними в powershell-скриптах та аналогічними методами доставки шкідливого навантаження.
За оцінками фахівців Positive Technologies, існує висока ймовірність того, що PhaseShifters та UAC-0050 є однією організацією, враховуючи ідентичність методів атак та часових патернів їх проведення. Для захисту від подібних загроз експерти рекомендують посилити моніторинг мережевого трафіку, впровадити багатофакторну автентифікацію та регулярно проводити навчання персоналу з питань кібербезпеки.
