DarkGaboon APT
A Positive Technologies szerint a DarkGaboon néven most azonosított csoport 2023 tavaszától aktív, pénzügyi motivációjú APT‑csoport, amely kifejezetten orosz vállalatokat céloz. A támadások spear-phishing e-maileken keresztül érkeztek, orosz nyelvű üzleti kontextusban, sürgető tartalommal, RTF fájlokat és .scr futtathatókat tartalmazó csomagokkal, amelyek obfuszkált RAT‑okkal (Revenge, XWorm) fertőztek meg.
Amint a RAT állományok működésbe léptek, az N.S. hálózati megosztás-keresőt használnak, amely felfedezi és csatlakoztatja a megosztott hálózati mappákat, majd a LockBit 3.0 (Black)zsarolóvírus segítségével titkosították a fájlokat, rábírva a cégeket a váltságdíj kifizetésére.
A támadási infrastruktúra jelentős átalakuláson esett át: korábban kompromittált levelezőszervereket használtak, most azonban saját, oroszországi SMTP-szervereket, valamint dinamikus DNS-t és offshore (amerikai + seychelles-i) RDP-szervereket alkalmaznak a RAT‑ok irányítására. A támadások során a sérült rendszerekről nem jelentettek adat‑exfiltrációt; cél egyértelműen a LockBit zsarolás volt, és nem a RaaS‑platformok használata, mivel a csoport saját LockBit-változatot alkalmazott
