Исследователи безопасности из компании Sophos выявили киберпреступную группировку RATicate, которая эксплуатировала установщики Nullsoft Scriptable Install System (NSIS) с целью установки инструментов для удаленного доступа (RAT) и инфостилеров в рамках атак, нацеленных на промышленные компании.
Злоумышленники, в ходе пяти отдельных кампаний в период с ноября 2019 года по январь 2020 года, атаковали промышленные компании в Европе, Ближнем Востоке и Южной Корее. Атаки были нацелены на различные типы предприятий промышленного сектора.
Для заражения систем целей группировка использовала две схемы, включающие доставку полезных нагрузок с помощью фишинговых писем. В первом варианте использовались вложения в формате ZIP, UDF и IMG, содержащие вредоносные установщики NSIS, а во втором — документы в формате XLS и RTF для загрузки установщиков с удаленного сервера на устройства жертвы.
Специалисты обнаружили несколько разных семейств RAT и инфостилеров. Среди них были Lokibot, Betabot, Formbook и AgentTesla, но все они выполняли один и тот же многоступенчатый процесс распаковки при запуске.
Как обнаружили эксперты, RATicate стояла за пятью последовательными кампаниями. Некоторые из различных полезных нагрузок в каждой кампании (в основном, Betabot, Lokibot, AgentTesla и Formbook) имели один и тот же C&C-сервер.