С начала 2024 года специалисты компании F.A.C.C.T., российского разработчика технологий кибербезопасности, выявили более тысячи фишинговых рассылок вредоносного ПО, жертвами которого стали предприятия, государственные учреждения и банки в России и Белоруссии. Аналитики департамента Threat Intelligence идентифицировали эти атаки как деятельность группы ТА558.
ТА558 — киберпреступная группировка, действующая с 2018 года. Основные цели группы включают финансовые учреждения, государственные организации и туристические компании. Хакерская группа применяет многоэтапные фишинговые атаки и методы социальной инженерии для внедрения вредоносного ПО, размещенного на легитимных серверах.
Недавние атаки ТА558 характеризуются использованием стеганографии для сокрытия информации в файлах и изображениях, а также вредоносных файлов с названиями вроде «Love» и «Kiss». В основном применяются программы типа Agent Tesla и Remcos, относящиеся к классу Remote Administration Tools (RAT). Они позволяют злоумышленникам захватывать видео с веб-камер, управлять буфером обмена и мышью, собирать информацию о системе и похищать пользовательские данные.
Примечательно, что хакеры продолжают эксплуатировать уязвимость 2017 года в Microsoft Office (CVE-2017-11882), несмотря на её устранение в обновленных версиях продукта.
Система F.A.C.C.T. Managed XDR успешно блокировала все вредоносные письма, направленные клиентам.
Читать материалы по теме:
«Группа Астра» заплатит «белым хакерам» за баги в платформе управления виртуализацией VMmanager
Евросоюз разозлили хакеры из России: действия группировки APT28 противоречат решениям ООН