Тайные послания группы ТА558 в кибератаках на предприятия России и Беларуси

С начала 2024 года аналитики F.A.C.C.T. Threat Intelligence зафиксировали более тысячи фишинговых рассылок вредоносного ПО, направленных на предприятия, государственные учреждения и банки в России и Беларуси.  Целью этих рассылок была кража данных и получение доступа к внутренним системам организаций. Аналитики департамента Threat Intelligence тщательно изучили содержимое рассылок и атрибутировали эти атаки к группе ТА558.

TA558 — это киберпреступная группировка, которая занимается проведением фишинговых кампаний и распространением вредоносного программного обеспечения, ведущая свою активность с 2018 года. Основные цели группы — это финансовые учреждения, государственные организации и компании из туристической отрасли. Группа активно использует многоэтапные фишинговые атаки,  различные методы социальной инженерии для внедрения вредоносных программ на компьютеры своих жертв, размещение полезной нагрузки на легитимных серверах, а также вредоносное ПО для кражи данных и удаленного контроля над системами жертв.

Кроме указанных признаков ТА558, в новых атаках специалисты F.A.C.C.T выявили характерные для группировки методы стеганографии, то есть сокрытия информации внутри файлов или изображений, при передачи полезной нагрузки, а также использование вредоносных файлов, в именах которых были слова «Love» и «Kiss».

Большинство изученных писем содержали вредоносное программное обеспечение (ВПО) Agent Tesla или Remcos, относящееся к классу Remote Administration Tools (RAT). После запуска на компьютере жертвы, ВПО закрепляется в системе, скрывается от пользователя и предоставляет атакующему доступ к зараженному устройству. Это позволяет злоумышленнику выполнять различные действия: захватывать видео с веб-камеры, управлять буфером обмена и мышью, отображать уведомления, загружать и запускать файлы, собирать информацию о системе, скрывать экраны и окна операционной системы, записывать аудио и нажатия клавиш, а также похищать пользовательские данные.

Примечательно, что атакующие продолжают эксплуатировать уязвимость 2017 года, выявленную в Microsoft Office (CVE-2017-11882), несмотря на то, что она уже устранена в новых версиях продукта. Это свидетельствует о том, что такие атаки по-прежнему успешны и эффективны. Более того, использование устаревших уязвимостей указывает на недостаточно обновление систем у многих пользователей, что позволяет злоумышленникам легко проникать в их сети.

Несмотря на то, что атаки ТА558 становятся всё более сложными и изощрёнными, система защиты от сложных и неизвестных угроз F.A.C.C.T. Managed XDR перехватила и заблокировала все вредоносные письма, направленные в адрес наших клиентов.

Исследование атак

В ходе одной из атак, зафиксированной 5 марта 2024, злоумышленниками использовалась электронная почта expo@bcmsrll[.]com, привязанная к домену bcmsrll[.]com (зарегистрирован 22.06.2023 у регистратора Namecheap Inc. США).

Изображение 1. Информация о доменном имени bcmsrll[.]com

С помощью графа сетевой инфраструктуры системы F.A.C.C.T. Threat Intelligence была выявлена связь, указывающая на использование данного домена атакующим TA558 в ходе проведения фишинговой атаки на один из банков Республики Беларусь в марте 2024 года.

Изображение 2. Связь доменного имени с группировкой TA558, выявленная с помощью графа сетевой инфраструктуры

TA558 известна своим использованием многоэтапных атак, начиная с фишинговых писем, содержащих вредоносные документы Microsoft Office, которые, в свою очередь, загружают и запускают вредоносные программы. В их арсенале находятся такие вредоносные программы, как AgentTesla, Remcos, njRAT и другие.

Группа часто изменяет свои тактики, методы и процедуры (TTP), чтобы избежать обнаружения и затруднить анализ их деятельности. В последнее время TA558 проявляет повышенную активность, используя более сложные техники маскировки и эмуляции легитимного поведения, что позволяет им эффективно обходить системы защиты.

Первоначальным регионом, на который была нацелена TA558 в 2018 году, являлась Латинская Америка, но позже они расширили географию атак. Их фишинговые кампании часто проводятся на нескольких языках, что указывает на глобальный масштаб операций группы.

Подробнее об атаках, атрибуции и индикаторах компрометации — в новом блоге компании F.A.C.C.T.

Источник: habr.com

0 0 голоса
Рейтинг новости
12110
0
Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии