Анализ вредоносного сервиса Crypters And Tools показал связанность киберпреступных групп Aggah, Blind Eagle и TA558

Ранее исследователи выяснили, что Crypters And Tools использовался для маскировки вредоносного ПО, а доступ к нему предоставлялся по подписке (crypter-as-a-service, CaaS).

В ходе анализа специалисты PT ESC TI определили, что этот инструмент применялся как минимум шестью различными группировками, включая Aggah, Blind Eagle и TA558, пишет Securitylab. Изучение конкретных атак позволило идентифицировать пользователей сервиса, связанных с группировками TA558 и Blind Eagle.

Анализ показал, что в кампаниях групп Aggah и TA558 за период с 2018 по 2024 год имеются сходства в географии атак, используемых вредоносных программах, заражённых документах и их метаданных. Обе группы использовали аббревиатуру C.D.T. Пересечения с активностью этих группировок также зафиксированы и в операциях Blind Eagle, в том числе нацеливание на страны Латинской Америки, использование общей инфраструктуры Crypters And Tools и одинакового набора вредоносного ПО: Remcos RAT, AsyncRAT, NjRAT, LimeRAT.

Специалисты PT ESC TI обращают внимание, что особенности Crypters And Tools ранее ошибочно приписывались самим группировкам, что создавало представление о более тесной связи между ними. В частности, исследователи компании Qi An Xin предполагали, что Aggah может быть подгруппой Blind Eagle. По словам Александра Бадаева, специалиста по киберразведке PT ESC TI, не исключается такая возможность, однако выявленные пересечения могут объясняться именно использованием общего инструментария — Crypters And Tools. При более глубоком анализе различия в подходах и тактике становятся очевидными.

Несмотря на то что активность Aggah не фиксировалась с 2022 года, по данным PT ESC TI, группа продолжает атаки. Однако в последних наблюдаемых инцидентах Crypters And Tools уже не использовался — либо использование происходило вне зоны наблюдения специалистов. Группировки TA558 и Blind Eagle продолжают применять этот сервис.