Обнаружена новая версия трояна группировки APT15

Компания Eset сообщила том, что ее специалисты обнаружили новую модификацию бэкдора Okrum.

Анализ образцов дает основание полагать, что они входят в арсенал хакерской группировки Ke3chang (также известной как APT15).

Несмотря на техническую простоту Okrum, злоумышленники умеют скрывать его присутствие. Например, загрузчик вредоносной программы спрятан в PNG-файле, а дополнительные зашифрованные файлы не видны пользователю. Операторы бэкдора также скрывают вредоносный трафик с помощью C&C-сервера.

Впервые Okrum был детектирован в декабре 2016 г. В течение 2017 г. бэкдор использовался для таргетированных атак на дипломатические миссии и госучреждения в Словакии, Бельгии, Бразилии, Чили и Гватемале.

При этом злоумышленники нацеливались на организации, ранее пострадавшие от другого семейства вредоносных программ под названием Ketrican.

Бэкдор Ketrican был зафиксирован в 2015 г. — тогда Eset заметила подозрительную активность в Словакии, Хорватии, Чехии и ряде других стран. Проанализировав образцы вредоносного ПО, эксперты решили, что они входят в набор группировки Ke3chang. В последующие годы Eset фиксировала появление новых версий этого бэкдора.

В Eset выяснили, что вредоносные программы Okrum и Ketrican использовались при атаках на одни и те же дипломатические учреждения. Группировка по-прежнему активна — в марте 2019 г. мы зафиксировали очередной образец Ketrican. Цель хакеров — шпионаж за дипломатическими организациями в Европе.