Основы Интернет - технологий.

Злоумышленники стремятся воспользоваться недавним скандалом, развернувшимся вокруг шпионского ПО Pegasus. Под видом защитного сканера, который ищет следы Pegasus в системе, хакеры распространяют RAT Sarwent.

Напомню, что в июне 2021 года пра­воза­щит­ная орга­низа­ция Amnesty International, некоммерческий про­ект Forbidden Stories, а так­же более 80 жур­налис­тов кон­сорци­ума из 17 меди­аор­ганиза­ций в десяти стра­нах мира опуб­ликова­ли резуль­таты сов­мес­тно­го рас­сле­дова­ния, которо­му дали наз­вание про­ект «Пегас». Тогда спе­циалис­ты заяви­ли, что обна­ружи­ли мас­штаб­ные зло­упот­ребле­ния шпи­онским ПО Pegasus, соз­данным изра­иль­ской ком­пани­ей NSO Group. Сог­ласно их отче­ту, спай­варь ком­пании активно при­меня­ется для наруше­ния прав челове­ка и для наб­людения за полити­ками, акти­вис­тами, жур­налис­тами и пра­воза­щит­никами по все­му миру.

Эксперты Cisco Talos сообщают, что атаки с использованием Sarwent проводятся с начала текущего года, и они нацелены на самых жертв в нескольких странах мира. Какие приманки использовались злоумышленниками в прошлых кампаниях неизвестно, но теперь аналитики обнаружили, что Sarwent распространяется через фейковый сайт Amnesty International и рекламируется как защитное решение против Pegasus. Фактически малвари попытались придать вид настоящего антивируса, разработав даже соответствующий графический интерфейс.

Пока исследователям не удалось понять, как именно хакеры заманивают посетителей на этот поддельный сайт, но анализ доменов этой кампании показал, что к ним обращаются пользователи со всего мира, хотя никаких признаков крупномасштабной кампании обнаружено не было.

Помимо копий сайта Amnesty International, оператор Sarwent также зарегистрировал следующие домены:

• 
  
• amnestyinternationalantipegasus[.]com;
  
• amnestyvspegasus[.]com;
  
• antipegasusamnesty[.]com.
  

Эксперты уверены, что за этой кампанией стоит русскоязычный злоумышленник. Также специалистами удалось обнаружить похожий бэкэнд, которые используется с 2014 года. Это позволяет предположить, что либо Sarwent намного старше, чем считалось ранее, либо его ранее использовали другие хакеры.

Sarwent написан на Delphi, что нечасто встречается среди современной малвари. Как и другие RAT, он предоставляет свои операторами доступ к зараженной машине. Прямой доступ к системе он обеспечивает путем активации RDP или через Virtual Network Computing (VNC). Впрочем, малварь может использовать и другие методы, включая шеллы и выполнение PowerShell.

Пока исследователи не уверены, преследуют ли операторы Sarwent финансовую выгоду, или речь идет, к примеру, о шпионаже.