Эксперты департамента Threat Intelligence компании F6 обнаружили уникальные признаки, позволяющий связать кибершпионскую кампанию HollowQuill с уже известной группой FakeTicketer.

Напомним, что в марте этого года специалисты компании Seqrite Labs описали кибершпионскую кампанию, получившую название Operation HollowQuill. Атака была нацелена на российские промышленные предприятия. По данным исследователей, хакеры использовали файл, мимикрирующий под официальный документ, написанный от имени Балтийского государственного технического университета «Военмех».

Впервые эту активность обнаружили исследователи из Positive Technologies в конце 2024 г., а дополнительный анализ позволил специалистам F6 Threat Intelligence установить пересечения с деятельностью группы FakeTicketer. Злоумышленники действуют как минимум с июня 2024 г., основной их мотивацией, предположительно, является шпионаж, а среди целей были замечены промышленные организации, госорганы, спортивные функционеры.

Анализ вредоносных программ и инфраструктуры злоумышленников показал, что в кампании HollowQuill и у FakeTicketer обнаружены пересечения в коде дропперов и именовании доменов.

При более детальном анализе удалось выявить некоторые пересечения с вредоносной программой Zagrebator.Dropper, приписываемой группе FakeTicketer: оба дроппера (LazyOneLoader и Zagrebator.Dropper) написаны на C#; используют одинаковые названия иконок (“faylyk”); файлы для дроппера и иконка хранятся в ресурсах. Дроппер читает данные из ресурсов и записывает ресурс в файл, используя один и тот же класс BinaryWrite; код для создания ярлыков практически идентичен; в обоих случаях файлы OneDrive*.exe и OneDrive*.lnk используются для сокрытия активности.

Исследователи F6 обнаружили еще одно любопытное совпадение между ?ампанией HollowQuill и группой FakeTicketer. В свое время группа FakeTicketer зарегистрировала нес?оль?о доменов, используя одни и те же регистрационные данные. Один из них — phpsymfony[.]info, при этом в ?ампании HollowQuill использовался созвучный домен - phpsymfony[.]com в ?ачестве C2-сервера для Cobalt Strike.

По мнению э?спертов F6 Threat Intelligence, найденные до?азательства позволяют со средней уверенностью приписать кампанию, именуемую HollowQuill, группе FakeTicketer.

Короткая ссылка