Эксперты F.A.C.C.T. предупредили об атаках Narketing163 на российские компании

В начале 2024 года в процессе изучения массовых вредоносных рассылок специалисты F.A.C.C.T. Threat Intelligence выделили несколько схожих атак и выдвинули  предположение, что все они связаны с одним и тем же атакующим.

Злоумышленник был назван Narketing163 по одному из наиболее часто используемых им электронных адресов – narketing163@gmail[.]com, который встречался во множестве писем в качестве обратного электронного адреса. 

По данным исследователей F.A.C.C.T., Narketing163 проводит фишинговые атаки на российские компании как минимум с 14 июля 2023 года и по состоянию на сентябрь 2024 года было обнаружено более 500 вредоносных писем от атакующего.

Тематика текстов писем обычно связана с коммерческими предложениями на услуги и товары, сроками поставки, обработкой заказов и их оплатой и адресованы компаниям из различных сфер деятельности: e-commerce, ритейла, химической промышленности, строительства, медицины, страхования и пищевой промышленности. Кроме россиян, Narketing163 атакует пользователей из разных стран, в числе которых: Беларусь, Казахстан, Азербайджан, Армения, Болгария, Украина, Турция, США, Германия, Испания, Индия, Румыния, Великобритания, Сингапур, Марокко, Литва, Норвегия, Шри-Ланка, Люксембург, Мексика. Злоумышленник рассылал письма на русском, азербайджанском, турецком и английском языках.

Письмо с обратным электронным адресом narketing163@gmail[.]com на русском языке

Обычно Narketing163 рассылал письма от лица электронных адресов с доменами верхнего уровня tr, az, com, kz, pe, info, net с целью имитации активности от существующих компаний. В отправляемых письмах он оставлял обратные электронные адреса, которые, предположительно, зарегистрировал сам:

narketing163@gmail[.]comtender12@mail[.]comverconas@mail[.]comkubrayesti@gmail[.]com

В рассылках злоумышленника постоянно менялись IP-адреса отправителя писем. Вероятно, он использовал средства анонимизации по типу VPN и прокси-серверов.

Письмо с обратным электронным адресом narketing163@gmail[.]com на турецком языке

В ходе своих атак злоумышленник распространял вредоносные программы, которые были атрибутированы решением  F.A.C.C.T. Managed XDR к следующим семействам ВПО: RedLine Stealer, Agent Tesla, FormBook (FormBookFormgrabber), Snake Keylogger.

В новом блоге эксперт F.A.C.C.T. разбирает атаки Narketing163, рассказывает о его тактиках и техниках, делится рекомендациями и индикаторами компрометации.

Источник: habr.com

0 0 голоса
Рейтинг новости
1399
0
Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии