Iterasi baru dari spyware PoetRAT, dengan peningkatan keamanan operasional, kode yang efisiensi dan membingungkan, sedang beredar di Azerbaijan, menargetkan sektor publik dan organisasi penting lainnya seiring dengan meningkatnya konflik negara dengan Armenia atas wilayah yang disengketakan.
Peneliti intelijen ancaman telah mengamati beberapa serangan baru menggunakan malware yang menunjukkan “perubahan dalam kemampuan aktor” dan “kedewasaan menuju keamanan operasional yang lebih baik,” sambil mempertahankan taktik spear-phishing untuk memikat pengguna agar mengunduh dokumen berbahaya, peneliti Cisco Talos mengungkapkan dalam sebuah posting blog, hari Selasa kemarin.
PoetRAT muncul pada bulan April sebagai backdoor yang bertindak sebagai ujung tombak untuk kerangka spionase yang lebih besar.
Kali ini, serangan tersebut menggunakan dokumen Microsoft Word yang diduga berasal dari pemerintah Azerbaijan – lengkap dengan Lambang Nasional Azerbaijan di pojok atas – untuk menginstal PoetRAT di dua file terpisah pada mesin korban, menurut peneliti Warren Mercer, Paul Rascagneres. dan Vitor Ventura.
Perbedaan antara kampanye sebelumnya dan yang terbaru termasuk perubahan dalam bahasa pemrograman yang digunakan untuk malware dari skrip Python ke Lua.
Kampanye terbaru juga menampilkan beberapa taktik baru untuk menghindari deteksi, catat para peneliti. Ini termasuk protokol eksfiltrasi baru untuk menyembunyikan aktivitas penyerang, serta “teknik obfuscation tambahan untuk menghindari deteksi berdasarkan string atau signatures,” termasuk Base64 dan algoritme kompresi LZMA, catat para peneliti.
Korban kampanye termasuk VIP Azerbaijan dan organisasi di sektor publik, dengan penyerang yang menunjukkan akses ke informasi sensitif, seperti paspor diplomatik milik beberapa warga negara.
Berita selengkapnya:
Source: Threat Post
