Исследователи из экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC) зафиксировали новую волну атак, осуществляемых группой TA558. Впервые данная группа использовала уникальную технику сокрытия вредоносного ПО.
TA558, активная с 2018 года, ранее была замечена в странах Латинской Америки. Теперь же география ее деятельности расширилась: в число жертв вошли компании из Турции, Румынии и России.
TA558, активная с 2018 года, ранее была замечена в странах Латинской Америки. Теперь же география ее деятельности расширилась: в число жертв вошли компании из Турции, Румынии и России.
«В исследованных нами атаках группа активно использовала технику стеганографии: файлы полезной нагрузки передавались внутри картинок. Помимо стеганографии, группа таким же образом использовала текстовые сервисы. Интересно, что в цепочках одновременно использовались сразу оба метода для лучшей защиты от обнаружения, — комментирует. Большинство названий вредоносных файлов содержали слово „любовь (love)“, поэтому мы назвали эту операцию SteganoAmor. Все это помогло нам обнаружить связи между различными элементами атаки и установить, что они относятся к одной и той же группе».
Хакеры использовали легитимные сервисы для хранения строк вредоносного ПО и изображений с вредоносным кодом. В арсенале группы оказались такие известные виды вредоносного ПО, как Agent Tesla, FormBook, Remcos, LokiBot, GuLoader, Snake Keylogger, XWorm.
Специалисты PT ESC, проанализировав данные и существующие исследования, пришли к выводу, что эти атаки связаны с группировкой TA558, известной своими интересами к компаниям из стран Латинской Америки, преимущественно работающим в сфере туризма и гостиничного бизнеса.
В ходе исследования было обнаружено большое количество образцов вредоносного ПО, направленных на различные сектора и страны. Было получено несколько сотен фишинговых писем, отправленных различным компаниям. Более 50 атак были направлены против российских, румынских и турецких компаний.
В общей сложности было зафиксировано более 320 атак, направленных на компании из 31 страны, включая США, Германию и Индию. Наиболее пострадавшими отраслями стали промышленность (21%), сфера услуг (16%), государственный сектор (16%), электроэнергетика (8%) и строительство (8%).
Для обнаружения подобных атак рекомендуется использовать специализированные средства защиты. Для анализа атак и их предотвращения следует обращаться к профессионалам в области расследования киберинцидентов. Система MaxPatrol SIEM способна обнаруживать не только ключевые события, такие как кража данных, но и предшествующие этапы, такие как фишинг и передача данных, с помощью определенных правил. MaxPatrol EDR позволяет выявлять и останавливать работу вредоносного ПО на конечных точках, таких как стационарные компьютеры, ноутбуки, виртуальные рабочие места и серверы. PT Network Attack Discovery (PT NAD) также способен обнаруживать действия группировки TA558.
Специалисты PT ESC, проанализировав данные и существующие исследования, пришли к выводу, что эти атаки связаны с группировкой TA558, известной своими интересами к компаниям из стран Латинской Америки, преимущественно работающим в сфере туризма и гостиничного бизнеса.
В ходе исследования было обнаружено большое количество образцов вредоносного ПО, направленных на различные сектора и страны. Было получено несколько сотен фишинговых писем, отправленных различным компаниям. Более 50 атак были направлены против российских, румынских и турецких компаний.
В общей сложности было зафиксировано более 320 атак, направленных на компании из 31 страны, включая США, Германию и Индию. Наиболее пострадавшими отраслями стали промышленность (21%), сфера услуг (16%), государственный сектор (16%), электроэнергетика (8%) и строительство (8%).
Для обнаружения подобных атак рекомендуется использовать специализированные средства защиты. Для анализа атак и их предотвращения следует обращаться к профессионалам в области расследования киберинцидентов. Система MaxPatrol SIEM способна обнаруживать не только ключевые события, такие как кража данных, но и предшествующие этапы, такие как фишинг и передача данных, с помощью определенных правил. MaxPatrol EDR позволяет выявлять и останавливать работу вредоносного ПО на конечных точках, таких как стационарные компьютеры, ноутбуки, виртуальные рабочие места и серверы. PT Network Attack Discovery (PT NAD) также способен обнаруживать действия группировки TA558.
