Хакерская группа Tortoiseshell нацелена на американских ветеринаров с помощью поддельного веб-сайта для найма

Ранее в этом году исследователи Symantec выявили злоумышленника, нацеленного на различных ИТ-провайдеров в Саудовской Аравии. Атаки были проведены с помощью специального вредоносного ПО группой под названием Tortoiseshell, которая, как считалось, была активна примерно с июля 2018 года. Tortoiseshell в то время участвовал в атаках на цепочку поставок с целью получения доступа к данным клиентов, хранящимся у 11 ИТ-провайдеров. которые были успешно скомпрометированы. Однако, не удовлетворившись этим, похоже, что Tortoiseshell расширяется в другие целевые области.

Согласно недавнему сообщению в блоге Cisco Talos Intelligence, кажется, что черепаховый панцирь сместил акцент с гражданских лиц на Ближнем Востоке на бывших военнослужащих в Соединенных Штатах. Злоумышленники специально пытаются обманом заставить ветеранов, ищущих работу, использовать их фальшивый веб-сайт hxxp://hiremilitaryheroes.com и заразить их вредоносным ПО. Рассматриваемый веб-сайт пытается выглядеть аналогично ресурсу по трудоустройству ветеранов Торговой палаты США и надеется, что посетители не заметят разницы в URL-адресах.

Веб-сайт Tortoiseshell заражает посетителей, заставляя их загружать исполняемый файл поддельного настольного приложения. Как только поддельный загрузчик запущен, он начинает показывать дым и зеркала, которые заставляют пользователя поверить, что программа устанавливается. Затем «приложение» зависает на почти полном индикаторе выполнения установки, и именно здесь вредоносное ПО начинает действовать.

Исследователи Cisco Talos говорят о процессах вредоносного ПО следующее:

Установщик проверяет, доступен ли Google. Если нет, установка останавливается. Если он доступен, программа установки загружает два двоичных файла с hxxp://199[.]187[.]208[.]75/MyWS.asmx/GetUpdate?val=UID… Загруженные двоичные файлы хранятся в формате base64. Один из двоичных файлов — это инструмент, используемый для выполнения этапа разведки в системе, а второй — инструмент удаленного администрирования. RAT выполняется как служба. Установщик сначала устанавливает службу (для аргумента -install), а затем останавливает/запускает службу с IP-адресом сервера управления и контроля (C2) в качестве аргумента… Если что-то не получается во время установки, злоумышленнику отправляется электронное письмо. Учетные данные жестко закодированы в установщике. Учетная запись электронной почты — [email protected][.]com, а сообщение об ошибке отправлено на [email protected][.]com… Загруженный инструмент разведки называется в системе «bird.exe», а внутреннее имя — Liderc… цель состоит в том, чтобы собрать много информации о машине-жертве.

С переходом от гражданских лиц к лицам, связанным с вооруженными силами США, нужно задаться вопросом, что именно мотивирует черепаховый панцирь. Пока еще слишком рано говорить о том, есть ли здесь национальное государство или кибертерроризм, но и этого нельзя исключать. Tortoiseshell не ищет денег, как большинство киберпреступников, а скорее хочет собрать как можно больше информации. Это один из злоумышленников, за которым нужно следить.