Новые улики: Связь между кибершпионской операцией HollowQuill и группой FakeTicketer подтверждена экспертами F6

Специалисты департамента **Threat Intelligence** компании **F6** выявили специфические признаки, которые связывают кибершпионскую операцию **HollowQuill** с уже известной группировкой **FakeTicketer**.

Напомним, в марте текущего года эксперты компании **Seqrite Labs** осветили атаку, названную **Operation HollowQuill**, нацеленной на российские промышленные объекты. Согласно информации исследователей, хакеры использовали документ, замаскированный под официальное письмо от Балтийского государственного технического университета “ВОЕНМЕХ”.

Стоит отметить, что впервые данная активность была зафиксирована исследователями из Positive Technologies в конце 2024 года, и дальнейший анализ позволил экспертам F6 Threat Intelligence выявить связи с действиями группы FakeTicketer. Злоумышленники активны как минимум с июня 2024 года, и их основной целью, предположительно, является шпионаж, среди которых объекты внимания включают промышленные компании, государственные структуры и спортивных функционеров.

Исследование вредоносных программ и инфраструктуры злоумышленников показало, что кампания **HollowQuill** и **FakeTicketer** имеют общие черты в коде дропперов и в именах доменных адресов.

В ходе более глубокого анализа были обнаружены совпадения с вредоносным ПО Zagrebator.Dropper, связанной с группой FakeTicketer:

Оба дроппера (LazyOneLoader и Zagrebator.Dropper) написаны на C#.

В них используются одинаковые названия иконок (“faylyk”).

Существует схожесть в именах файлов и классов.

Ресурсы для дропперов и иконки хранятся в ресурсах. Дроппер считывает данные из ресурсов и записывает их в файл, применяя один и тот же класс BinaryWrite.

Код, отвечающий за создание ярлыков, практически идентичен (дроппер из кампании “HollowQuill” – рис.4, Zagrebator.Dropper – рис.5).

В обоих случаях используются файлы OneDrive*.exe и OneDrive*.lnk для сокрытия действия (дроппер кампании “HollowQuill” – рис.6, Zagrebator.Dropper – рис.7).

Эксперты F6 также заметили еще одно интересное совпадение между кампаниями **HollowQuill** и **FakeTicketer**. Группа FakeTicketer зарегистрировала несколько доменов с одинаковыми регистрационными данными (рис. 8). Один из них — phpsymfony[.]info, в то время как в кампании HollowQuill использовался созвучный домен – phpsymfony[.]com как C2-сервер для Cobalt Strike.

По мнению специалистов F6 Threat Intelligence, собранные материалы дают основание с высокой долей уверенности связать кампанию HollowQuill с деятельностью группы FakeTicketer.