Группировка RATicate атаковала промышленные предприятия по всему миру

Исследователи безопасности из компании Sophos выявили киберпреступную группировку RATicate, которая эксплуатировала установщики Nullsoft Scriptable Install System (NSIS) с целью установки инструментов для удаленного доступа (RAT) и инфостилеров в рамках атак, нацеленных на промышленные компании.

RATicate атаковала промышленные компании в Европе, Ближнем Востоке и Южной Корее в ходе пяти отдельных кампаний в период с ноября 2019 года по январь 2020 года. Атаки были нацелены на различные типы предприятий промышленного сектора, в том числе производителя электрооборудования в Румынии, кувейтской строительно-инженерной компании, корейской интернет-компании, корейской инвестиционной фирмы, британского производителя строительных материалов, корейского издания медицинских новостей, корейского производителя телекоммуникационных и электрических кабелей, швейцарского производителя издательского оборудования и японской курьерской и транспортной компании.

Для заражения систем целей злоумышленники использовали две схемы, включающие доставку полезных нагрузок с помощью фишинговых писем. В первом варианте использовались вложения в формате ZIP, UDF и IMG, содержащие вредоносные установщики NSIS, а во втором — документы в формате XLS и RTF для загрузки установщиков с удаленного сервера на устройства жертвы.

В ходе анализа вредоносов специалисты обнаружили несколько разных семейств RAT и инфостилеров. Среди них были Lokibot, Betabot, Formbook и AgentTesla, но все они выполняли один и тот же многоступенчатый процесс распаковки при запуске.

Как обнаружили эксперты, RATicate стояла за пятью последовательными кампаниями. Некоторые из различных полезных нагрузок в каждой кампании (в основном, Betabot, Lokibot, AgentTesla и Formbook) имели один и тот же C&C-сервер.