Для заражения систем целей злоумышленники использовали фишинговые письма.
https://www.securitylab.ru/upload/ib...5fc436952b.jpg
Исследователи безопасности из компании Sophos https://news.sophos.com/en-us/2020/05/14/raticate/киберпреступную группировку RATicate, которая эксплуатировала установщики Nullsoft Scriptable Install System (NSIS) с целью установки инструментов для удаленного доступа (RAT) и инфостилеров в рамках атак, нацеленных на промышленные компании.
RATicate атаковала промышленные компании в Европе, Ближнем Востоке и Южной Корее в ходе пяти отдельных кампаний в период с ноября 2019 года по январь 2020 года. Атаки были нацелены на различные типы предприятий промышленного сектора, в том числе производителя электрооборудования в Румынии, кувейтской строительно-инженерной компании, корейской интернет-компании, корейской инвестиционной фирмы, британского производителя строительных материалов, корейского издания медицинских новостей, корейского производителя телекоммуникационных и электрических кабелей, швейцарского производителя издательского оборудования и японской курьерской и транспортной компании.
Для заражения систем целей злоумышленники использовали две схемы, включающие доставку полезных нагрузок с помощью фишинговых писем. В первом варианте использовались вложения в формате ZIP, UDF и IMG, содержащие вредоносные установщики NSIS, а во втором — документы в формате XLS и RTF для загрузки установщиков с удаленного сервера на устройства жертвы.
В ходе анализа вредоносов специалисты обнаружили несколько разных семейств RAT и инфостилеров. Среди них были Lokibot, Betabot, Formbook и AgentTesla, но все они выполняли один и тот же многоступенчатый процесс распаковки при запуске.
Как обнаружили эксперты, RATicate стояла за пятью последовательными кампаниями. Некоторые из различных полезных нагрузок в каждой кампании (в основном, Betabot, Lokibot, AgentTesla и Formbook) имели один и тот же C&C-сервер.