С начала 2024 года аналитики F.A.C.C.T. Threat Intelligence зафиксировали более тысячи фишинговых рассылок вредоносного ПО, направленных на предприятия, государственные учреждения и банки в России и Беларуси. Целью этих рассылок была кража данных и получение доступа к внутренним системам организаций. Аналитики департамента Threat Intelligence тщательно изучили содержимое рассылок и атрибутировали эти атаки к группе ТА558.
TA558 — это киберпреступная группировка, которая занимается проведением фишинговых кампаний и распространением вредоносного программного обеспечения, ведущая свою активность с 2018 года. Основные цели группы — это финансовые учреждения, государственные организации и компании из туристической отрасли. Группа активно использует многоэтапные фишинговые атаки, различные методы социальной инженерии для внедрения вредоносных программ на компьютеры своих жертв, размещение полезной нагрузки на легитимных серверах, а также вредоносное ПО для кражи данных и удаленного контроля над системами жертв.
Кроме указанных признаков ТА558, в новых атаках специалисты F.A.C.C.T выявили характерные для группировки методы стеганографии, то есть сокрытия информации внутри файлов или изображений, при передачи полезной нагрузки, а также использование вредоносных файлов, в именах которых были слова «Love» и «Kiss».
Большинство изученных писем содержали вредоносное программное обеспечение (ВПО) Agent Tesla или Remcos, относящееся к классу Remote Administration Tools (RAT). После запуска на компьютере жертвы, ВПО закрепляется в системе, скрывается от пользователя и предоставляет атакующему доступ к зараженному устройству. Это позволяет злоумышленнику выполнять различные действия: захватывать видео с веб-камеры, управлять буфером обмена и мышью, отображать уведомления, загружать и запускать файлы, собирать информацию о системе, скрывать экраны и окна операционной системы, записывать аудио и нажатия клавиш, а также похищать пользовательские данные.
Примечательно, что атакующие продолжают эксплуатировать уязвимость 2017 года, выявленную в Microsoft Office (CVE-2017-11882), несмотря на то, что она уже устранена в новых версиях продукта. Это свидетельствует о том, что такие атаки по-прежнему успешны и эффективны. Более того, использование устаревших уязвимостей указывает на недостаточно обновление систем у многих пользователей, что позволяет злоумышленникам легко проникать в их сети.
Несмотря на то, что атаки ТА558 становятся всё более сложными и изощрёнными, система защиты от сложных и неизвестных угроз F.A.C.C.T. Managed XDR перехватила и заблокировала все вредоносные письма, направленные в адрес наших клиентов.Исследование атак
В ходе одной из атак, зафиксированной 5 марта 2024, злоумышленниками использовалась электронная почта [email=expo@bcmsrll]expo@bcmsrll[/email][.]com, привязанная к домену bcmsrll[.]com (зарегистрирован 22.06.2023 у регистратора Namecheap Inc. США).Изображение 1. Информация о доменном имени bcmsrll[.]com
С помощью графа сетевой инфраструктуры системы F.A.C.C.T. Threat Intelligence была выявлена связь, указывающая на использование данного домена атакующим TA558 в ходе проведения фишинговой атаки на один из банков Республики Беларусь в марте 2024 года.Изображение 2. Связь доменного имени с группировкой TA558, выявленная с помощью графа сетевой инфраструктуры
TA558 известна своим использованием многоэтапных атак, начиная с фишинговых писем, содержащих вредоносные документы Microsoft Office, которые, в свою очередь, загружают и запускают вредоносные программы. В их арсенале находятся такие вредоносные программы, как AgentTesla, Remcos, njRAT и другие.
Группа часто изменяет свои тактики, методы и процедуры (TTP), чтобы избежать обнаружения и затруднить анализ их деятельности. В последнее время TA558 проявляет повышенную активность, используя более сложные техники маскировки и эмуляции легитимного поведения, что позволяет им эффективно обходить системы защиты.
Первоначальным регионом, на который была нацелена TA558 в 2018 году, являлась Латинская Америка, но позже они расширили географию атак. Их фишинговые кампании часто проводятся на нескольких языках, что указывает на глобальный масштаб операций группы.
Подробнее об атаках, атрибуции и индикаторах компрометации — в новом блоге компании F.A.C.C.T.
Источник новости: habr.com