Эволюция инструментов Dark Caracal 🐱

В первом квартале 2024 года в поле зрения сотрудников департамента Threat Intelligence экспертного центра безопасности Positive Technologies (PT ESC) попал вредоносный семпл.

Целевой аудиторией атаки стали испаноговорящие пользователи — это понятно по содержимому вредоносных вложений и по языку фишинговых писем, используемых для доставки ВПО. Сообщество назвало вредонос Poco RAT — по наименованию используемых библиотек POCO для C++. На момент обнаружения семпл не был атрибутирован ни к одной известной группировке.

🤨 Исследование семпла выявило определенный набор функций для удаленного управления устройством жертвы, включая загрузку файлов, снятие скриншотов, выполнение команд, управление процессами и файлами.

Дополнительный анализ тактик, техник и процедур, цепочки атак и географии кампании позволил связать активность с группировкой Dark Caracal, известной использованием вредоносного ПО Bandook. При этом была выявлена схожесть дропперов Poco RAT и Bandook.

Подробнее о Dark Caracal, ее методах и новых инструментах вы можете прочитать в исследовании на нашем сайте 👽

#TI #APT #malware
@ptescalator