Группировка, известная кибератаками на Латинскую Америку, добралась до России — Positive Technologies

  

15 Апрель 2024 (17:33)

Группировка, известная кибератаками на Латинскую Америку, добралась до России — Positive Technologies

Специалисты экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC) обнаружили серию атак по всему миру; особый «почерк» злоумышленников позволяет экспертам утверждать, что вероятнее всего эти атаки связаны с группировкой TA558, сообщает PT в понедельник.

Хакерская группировка, замеченная с 2018 года в странах Латинской Америки, расширяет географию: в топ-10 жертв попали компании из Турции, Румынии и России.

«В исследованных нами атаках группа активно использовала технику стеганографии: файлы полезной нагрузки передавались внутри картинок. Помимо стеганографии, группа таким же образом использовала текстовые сервисы. Интересно, что в цепочках одновременно использовались сразу оба метода для лучшей защиты от обнаружения, – комментирует Александр Бадаев, специалист отдела исследования угроз информационной безопасности экспертного центра безопасности Positive Technologies. – Большинство названий вредоносных файлов содержали слово «любовь» (love), поэтому мы назвали эту операцию SteganoAmor. Все это помогло нам обнаружить связи между различными элементами атаки и установить, что они относятся к одной и той же группе».

По данным отчёта, группировка использует легитимные сервисы для хранения строчек вредоносного ПО и картинок с вредоносным кодом. В атаках хакеры применяли широко известное ПО, среди которого Agent Tesla, FormBook, Remcos, LokiBot, GuLoader, Snake Keylogger, XWorm.

Изучив все детали и существующие исследования, специалисты PT ESC связали эти атаки с группировкой TA558, известной своим интересом к компаниям из стран Латинской Америки (в основном туристического и гостиничного бизнеса). В ходе анализа было обнаружено множество семплов, направленных на различные секторы и страны. К экспертам попало несколько сотен фишинговых писем, отправленных разным компаниям. Более 50 атак предназначалась российским, румынским и турецким компаниям.

Всего в ходе исследования специалисты Positive Technologies выявили более 320 атак, направленных на компании из 31 страны, в том числе из США, Германии, Индии. Среди наиболее пострадавших отраслей — промышленность (21%), сфера услуг (16%), государственный сектор (16%), электроэнергетика (8%) и строительство (8%).

Обнаружить подобные атаки можно с помощью специализированных средств защиты, а для анализа атак и их предотвращения необходимо привлекать профессионалов в расследовании киберинцидентов, отмечают в компании.