Эксперты Positive Technologies обнаружили новую APT-группировку, которая атакует организации российского государственного сектора. Злоумышленники использовали фишинговые письма на темы финансов и права, поэтому группа получила имя TaxOff. В атаках хакеры использовали бэкдор Trinper, который способен оставаться незаметным даже при одновременном выполнении множества задач.
По данным исследователей, в атаках, обнаруженных в третьем квартале 2024 года, хакеры преследовали две основные цели — шпионаж и закрепление в инфраструктуре жертв для осуществления дальнейших атак.
В качестве начального вектора TaxOff использует фишинговые письма. К примеру, в одном из них была ссылка на «Яндекс Диск» (с вредоносным содержимым, связанным с «1С»), а в другом — фальшивый установщик, связанный со специальным ПО для заполнения справок о доходах и расходах для госслужащих. Отмечается, что этот софт ежегодно обновляется и становится целью для злоумышленников, распространяющих малварь под видом обновлений.
Взаимодействие с такими письмами вело к заражению бэкдором Trinper. Этот вредонос написан на языке C++ и имеет многопоточную архитектуру, что позволяет ему параллельно выполнять разные действия (собирать и выгружать данные, мониторить файловую систему на предмет появления чувствительных данных, поддерживать связь с управляющим сервером).
Специалисты пишут, что Trinper построен на одной из парадигм параллельного программирования, а именно на потоковом параллелизме. То есть задачи разбиваются на последовательные этапы, каждый из которых может выполняться параллельно с другими.
Эксперты отмечают, что в Trinper реализована уникальная конфигурация, которая обеспечивают гибкую настройку. Кроме того, бэкдор кеширует часто используемые данные и за счет этого быстрее выполняет операции, повышая производительность.
«Благодаря многопоточности и другим архитектурным особенностям Trinper дает злоумышленникам возможность получать устойчивый доступ к скомпрометированным системам и одновременно выполнять многочисленные вредоносные действия. При этом бэкдор не оказывает значительного влияния на производительность инфраструктуры, поэтому может долгое время оставаться незамеченным, — комментирует Владислав Лунин, старший специалист группы исследования сложных угроз, экспертного центра безопасности Positive Technologies. — Сочетание высокотехнологичного вредоноса с приманками на волнующие темы делает атаки TaxOff особенно опасными и трудными для обнаружения».
