Group IB

RAT StrifeWater маскируется под калькулятор

03.02.2022
RAT StrifeWater маскируется под калькулятор

ИБ-компания Cybereason обнаружила новый троян удаленного доступа (RAT) StrifeWater, который связан с хакерами из кибершпионской группы Moses Staff. В системах жертв малварь маскируется под калькулятор Windows, пишет Хакер.

Напомню, что о группировке Moses Staff впервые сообщили исследователи компании Check Point в 2021 году. Тогда группировка атаковала израильские организации, взламывала их сети, шифровала данные, а затем отказывалась вести переговоры о выплате выкупа. Тогда ИБ-исследователи писали, что это были политически мотивированные и нарочно деструктивные атаки. На сегодняшний день жертвами хакеров стали многие компании за пределами Израиля, в том числе из Италии, Индии, Германии, Чили, Турции, ОАЭ и США.

Как теперь рассказывают аналитики Cybereason, StrifeWater, по-видимому, используется злоумышленниками на начальном этапе атак, к тому же RAT может удалиться из системы, чтобы замести следы. Помимо этого вредонос обладает и другими возможностями, включая выполнение заданных команд, захват экрана и загрузку дополнительных расширений.

В системе жертв RAT разворачивается под именем calc.exe (файл калькулятора Windows) и используется на ранних стадиях цепочки заражения, удаляясь перед развертыванием шифровальщика. Исследователи полагают, что удаление и последующая замена вредоносного исполняемого файла калькулятора обычным — это попытка замести следы и стереть доказательства существования трояна. Также, похоже, это помогает преступникам избежать обнаружения вплоть до заключительной фазы атаки.

В целом StrifeWater почти ничем не отличается от своих «одноклассников» и обладает многочисленными функциями, главными из которых являются: возможность собирать данные о системных файлах, выполнять команды, делать скриншоты, обеспечивать постоянное присутствие в системе, а также загружать обновления и вспомогательные модули.

«Конечная цель Moses Staff скорее политическая, чем финансовая, — пишут исследователи. — Хакеры используют программы-вымогатели после хищения данных, но не ради получения финансовой выгоды, а ради нанесения ущерба, сокрытия шпионской деятельности и нанесения вреда определенным системам для геополитической выгоды Ирана».