27 января злоумышленники из TA558 провели масштабную фишинговую атаку, нацеленную на российские и белорусские компании из финансовой, логистической, строительной, туристической и промышленной сферы. Всего за один день, по данным аналитиков F.A.C.C.T., злоумышленники с помощью специального софта разослали письма более чем 76 тыс. целям из 112 стран мира.
Письма от TA558 содержат вложение, загружающее и запускающее RTF-документ, который использует уязвимость CVE-2017-11882 для загрузки и запуска HTA-файла со скрытым обфусцированным VBS-сценарием. При выполнении данного сценария на устройстве жертвы запускается программа Remcos RAT — она позволяет преступникам контролировать устройство жертвы.
Группировка ТА558 активна минимум с 2018 г. В 2024 г. аналитики F.A.C.C.T. Threat Intelligence зафиксировали более тысячи фишинговых рассылок вредоносного ПО, направленных на предприятия, госучреждения и банки в России и Беларуси. Цель атак — кража данных и получение доступа к внутренним системам организаций. Группа использует многоэтапные фишинговые атаки и различные методы социальной инженерии. Напомним, что об атаках TA558 эксперты F.A.C.C.T. подробно рассказывали летом 2024.
Источник новости: habr.com
