🇧🇾🇷🇺С начала 2024 г. аналитики F.A.C.C.T. Threat Intelligence зафиксировали более тысячи фишинговых рассылок вредоносного ПО, направленных на предприятия, государственные учреждения и банки в России и Беларуси⬆️Целью этих рассылок была кража данных и получение доступа к внутренним системам организаций. Атаки были атрибутированы к киберпреступной
группировке ТА558.🔎 ТА558 активно ведет деятельность с 2018 г. Основные цели — финансовые учреждения, государственные организации и компании из туристической отрасли. Группа использует многоэтапные фишинговые атаки и различные методы социальной инженерии, чтобы внедрить вредоносные программы на компьютеры своих жертв.⚙️ Особенности атак ТА558:
☀️Стеганография при передаче полезной нагрузки.
☀️Использование вредоносных файлов с именами, содержащими слова «Love» и «Kiss».
Вредоносное ПО, такое как Agent Tesla или Remcos, обеспечивает злоумышленникам доступ к зараженным устройствам и позволяет выполнять различные действия: захватывать видео с веб-камеры, управлять буфером обмена и мышью, загружать и запускать файлы, собирать информацию о системе и похищать данные.
⚙️ Результаты исследования F.A.C.C.T.📩 5 марта 2024 г. была зафиксирована атака с использованием электронной почты expo@bcmsrll[.]com, привязанной к домену bcmsrll[.]com. Аналитики выявили связь данного домена с TA558. Атаки осуществлялись через письма, содержащие вредоносные документы Microsoft Office, которые загружали и запускали вредоносные программы.
📩 В период 1 января — 25 мая 2024 г. злоумышленники перемещали домен bcmsrll[.]com между тремя различными хостами, используя почтовый сервер AutoSMTP для рассылки вредоносных писем. Письма направлялись на русском, английском, турецком, румынском и итальянском языках, что создавало иллюзию легитимности и повышало вероятность успеха атаки.
📩 Запуск вложенных файлов приводил к выполнению макроса, который направлял запрос к ресурсу hxxp://tau[.]id/0vzd8, загружал VBS скрипт «xmass.vbs», эксплуатировал уязвимость CVE-2017-11882 и запускал PowerShell с закодированными данными, чтобы скрыть свои действия.
📩Атака включала использование стеганографии для передачи параметров PowerShell. Данные кодировались в формате Base64, декодировались и запускались скрытым экземпляром PowerShell, который загружал изображение с закодированными данными. Эти данные декодировались и использовались для запуска трояна Remcos.
⚙️ Ключевые выводыАтаки TA558 демонстрируют значительное развитие ухищренных методов сокрытия и доставки вредоносного ПО. Злоумышленники продолжают использовать уязвимость CVE-2017-11882, что свидетельствует о недостаточном обновлении систем у многих пользователей. TA558 не пренебрегает социальной инженерией для маскировки своих писем под легитимные сообщения от известных компаний, что увеличивает вероятность успеха атаки.
🤭 Подробнее об атаках TA558 на Россию и Беларусь, атрибуции группы и индикаторах компрометации —
по ссылке.
