Контакты
Подписка 2024
Удаленный доступ
4 июля. Защищенный удаленный доступ к ИТ-инфраструктуре: как обеспечить контролируемое подключение внешних сотрудников
Регистрируйтесь на онлайн-конференцию!

Ранее неизвестная группа TA886 фотографирует жертву перед атакой

13/02/23

hack68-Feb-13-2023-10-52-49-8398-AM

Новая группировка, отслеживаемая как TA886, атакует организации в США и Германии с помощью новых специализированных вредоносных программ для шпионажа и кражи данных. Об этом заявили исследователи безопасности из ИБ-компании Proofpoint.

Ранее неизвестная группировка была впервые обнаружена экспертами Proofpoint в октябре 2022 года, напоминает Securitylab. Хакеры, вероятно, имеют финансовые мотивы, выполняя предварительную оценку взломанных систем, чтобы определить, достаточно ли ценна жертва для дальнейшего вторжения.

Цепочка атак начинается с фишинговых электронных писем, содержащих вложения Microsoft Publisher (.pub) с вредоносными макросами, URL-адреса, ссылающиеся на файлы «.pub» с макросами, или PDF-файлы, содержащие URL-адреса для загрузки опасных файлов JavaScript. При этом электронные письма написаны на английском или немецком языке, в зависимости от языка цели.

При нажатии на ссылку запускается многоэтапная цепочка атак, в результате которой загружается и выполняется вредоносное ПО Screenshotter. Этот инструмент делает снимки экрана в формате JPG с компьютера жертвы и отправляет их обратно на сервер злоумышленника, затем киберпреступник вручную изучает эти скриншоты и решает, представляет ли жертва ценность для него.

Эта оценка может включать в себя то, что Screenshotter делает больше скриншотов или сбрасывает дополнительные полезные нагрузки, такие как:

  • Сценарий профилировщика домена, который отправляет сведения о домене AD (Active Directory) на C2-сервер;
  • Загрузчик вредоносного ПО AHK Bot, который загружает в память инфостилер Rhadamanthys.

Rhadamanthys предназначен для кражи:

  • криптовалюты из криптокошельков;
  • учетных данных и cookie-файлов, хранящихся в веб-браузерах, FTP-клиентах, учетных записях Steam, Telegram и Discord, конфигурациях VPN и почтовых клиентах;
  • различных файлов из взломанной системы.

Кроме того, по словам экспертов, активность Screenshotter происходит в рабочее время в часовом поясе UTC+2 или UCT+3.

Также анализ кода загрузчика AHK Bot показал, что TA886, скорее всего, является российской группировкой.

Proofpoint не нашёл сходства TTPs группы с существующими, но обнаружил признаки того, что инструмент AHK Bot использовался в предыдущих шпионских кампаниях TA866, но эксперты не исключают совместное использование инструмента несколькими группами.

Атаки TA886 все еще продолжаются, и Proofpoint предупреждает, что профилирование Active Directory должно вызывать беспокойство, поскольку оно может скомпрометировать все хосты, присоединенные к домену.

Темы:ГерманияПреступленияProofpointхищение данных
NGFW
28 июня. Комплексный подход к кибербезопасности. Защита АСУ ТП. Безопасность КИИ
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...