PoetRAT: полное отсутствие операционной безопасности. [Исследовательская суббота]

Команда Cisco Talos обнаружила PoetRAT в этом году. С тех пор они наблюдали несколько новых кампаний, указывающих на изменение возможностей актора и демонстрирующих его зрелость в направлении улучшения оперативной безопасности. Они оценивают с medium confidence, что этот актор продолжает использовать атаки по фишингу, чтобы заманить пользователя скачать вредоносный документ с временных хостинг-провайдеров. Они сейчас считают, что вредоносное ПО приходит из вредоносных URL, включенных в электронное письмо, что приводит к тому, что пользователь кликает и скачивает вредоносный документ. Эти документы Word по-прежнему содержат вредоносные макросы, которые, в свою очередь, загружают дополнительные полезные нагрузки, когда атакующий выбирает конкретную жертву. Поскольку геополитические напряжения растут в Азербайджане с соседними странами, это, безусловно, этап шпионажа с национальными безопасностью, развернутым злонамеренным актором с конкретным интересом к различным правительственным отделам Азербайджана. Присоединяйтесь к нам в этом выпуске Research Saturday, где мы будем обсуждать исследование из Talos Outreach от Cisco с Крейгом Уильямсом. Исследование можно найти здесь: PoetRAT: Малваре, нацеленное на государственный и частный сектор в Азербайджане, эволюционирует