Новая группа NewsPenguin использует шпионское ПО для кражи технологий ВМС Пакистана

[Artifact]

Исследователям предстоит узнать – кому нужны технологии ВМС Пакистана и кто готовил нападение на выставку ВМС с июля 2022 года.
Специалисты из ИБ-компании BlackBerry сообщают , что ранее неизвестный злоумышленник под названием NewsPenguin проводит фишинговую кампанию, нацеленную на пакистанские организации, используя предстоящую международную морскую выставку (PIMEC-23) в качестве приманки.
Киберпреступник разослал целевые фишинговые электронные письма с прикрепленным документом, который якобы является руководством для участников PIMEC-23. По словам экспертов, атаки нацелены на организации, связанные с морской средой, и на посетителей мероприятия.
После запуска документа используется метод, называемый удаленным внедрением шаблона (Remote Template Injection), для извлечения полезной нагрузки следующего этапа с сервера хакера, настроенного на возврат артефакта только в том случае, если запрос отправлен с IP-адреса из Пакистана.

Исследователи BlackBerry обнаружили, что на сервере размещены два ZIP-архива без пароля, один из которых содержит DLL-библиотеку, а второй включает в себя исполняемый файл Windows (updates.exe), который функционирует как инструмент скрытого шпионажа, способный обходить песочницы и виртуальные машины.
Дмитрий Бестужев, исследователь угроз в BlackBerry, рассказал, что шпионское ПО было написано с нуля и специально адаптировано для этой кампании. По его словам, чтобы вредоносное ПО оставалось незамеченным, между каждым запросом происходит пятиминутная задержка.
Имплантат обладает следующими функциями:

• самоудаление в случае обнаружения или завершения операции;

• эксфильтрация конфиденциальных данных с системы жертвы;

• удаление файлов;

• запуск приложений в системе жертвы;

• сбор информации об интересующих файлах в системе;

Более того, содержимое двоичного файла зашифровано с помощью алгоритма XOR, где ключом XOR является «penguin», что и стало основанием для названия NewsPenguin. При этом BlackBerry не обнаружила совпадений TTPs с каким-либо известным в настоящее время злоумышленником или группой.
Анализ домена, на котором размещаются полезные нагрузки, показывает, что он был зарегистрирован 30 июня 2022 года, что указывает на определенный уровень предварительного планирования кампании при одновременном выполнении шагов по итерации набора инструментов.
В BlackBerry заявили, что поскольку кампания нацелена на мероприятие, организованное ВМС Пакистана, это означает, что целью атак является не получение прибыли, а кража наиболее интересных файлов, содержащих информацию о теме конференции, нетворкинге людей и представленных на ней технологиях.