Компания ESET сообщила об обнаружении угрозы LongNosedGoblin, нацеленной на правительственные организации в Юго-Восточной Азии, Японии и как минимум одной в ЕС. С сентября 2023 года эта группа выступает за кибершпионаж, используя Group Policy для распространения вредоносного ПО через скомпрометированные сети.
Кибершпионаж в Юго-Восточной Азии
Особенности инструментов и методики
LongNosedGoblin использует облачные сервисы, такие как Microsoft OneDrive, Google Drive и Яндекс Диск, для командного управления. Набор инструментов на C#/.NET включает NosyHistorian для сбора истории браузера и NosyDoor, использующий облачные сервисы для беспроводной связи и выполнения команд. Также используются NosyStealer, NosyDownloader и NosyLogger.
Расширение атак
ESET впервые зафиксировала деятельность LongNosedGoblin в феврале 2024 года на сервере правительства Юго-Восточной Азии. В период с января по март 2024 года большинство жертв столкнулись с NosyHistorian, а подгруппа — с NosyDoor. Некоторые вредоносные программы ограничивают выполнение на конкретных устройствах.
Возможные векторы продажи
По данным ESET, методика LongNosedGoblin перекрывается с другими угрозами, что может указывать на продажу или распространение вредоносного ПО среди группировок, поддерживающих Китай. Актеры также используют обратный прокси SOCKS5 и утилиты захвата аудио/видео.
