В начале 2024 года в процессе изучения массовых вредоносных рассылок специалисты F.A.C.C.T. Threat Intelligence выделили несколько схожих атак и выдвинули предположение, что все они связаны с одним и тем же атакующим.
Злоумышленник был назван Narketing163 по одному из наиболее часто используемых им электронных адресов – [email=narketing163@gmail]narketing163@gmail[/email][.]com, который встречался во множестве писем в качестве обратного электронного адреса.
По данным исследователей F.A.C.C.T., Narketing163 проводит фишинговые атаки на российские компании как минимум с 14 июля 2023 года и по состоянию на сентябрь 2024 года было обнаружено более 500 вредоносных писем от атакующего.
Тематика текстов писем обычно связана с коммерческими предложениями на услуги и товары, сроками поставки, обработкой заказов и их оплатой и адресованы компаниям из различных сфер деятельности: e-commerce, ритейла, химической промышленности, строительства, медицины, страхования и пищевой промышленности.
Кроме россиян, Narketing163 атакует пользователей из разных стран, в числе которых: Беларусь, Казахстан, Азербайджан, Армения, Болгария, Украина, Турция, США, Германия, Испания, Индия, Румыния, Великобритания, Сингапур, Марокко, Литва, Норвегия, Шри-Ланка, Люксембург, Мексика. Злоумышленник рассылал письма на русском, азербайджанском, турецком и английском языках.Письмо с обратным электронным адресом [email=narketing163@gmail]narketing163@gmail[/email][.]com на русском языке
Обычно Narketing163 рассылал письма от лица электронных адресов с доменами верхнего уровня tr, az, com, kz, pe, info, net с целью имитации активности от существующих компаний. В отправляемых письмах он оставлял обратные электронные адреса, которые, предположительно, зарегистрировал сам:
[email=narketing163@gmail]narketing163@gmail[/email][.]com
[email=tender12@mail]tender12@mail[/email][.]com
[email=verconas@mail]verconas@mail[/email][.]com
[email=kubrayesti@gmail]kubrayesti@gmail[/email][.]com
В рассылках злоумышленника постоянно менялись IP-адреса отправителя писем. Вероятно, он использовал средства анонимизации по типу VPN и прокси-серверов.Письмо с обратным электронным адресом [email=narketing163@gmail]narketing163@gmail[/email][.]com на турецком языке
В ходе своих атак злоумышленник распространял вредоносные программы, которые были атрибутированы решением F.A.C.C.T. Managed XDR к следующим семействам ВПО: RedLine Stealer, Agent Tesla, FormBook (FormBookFormgrabber), Snake Keylogger.
В новом блоге эксперт F.A.C.C.T. разбирает атаки Narketing163, рассказывает о его тактиках и техниках, делится рекомендациями и индикаторами компрометации.
Источник новости: habr.com
