Хакер #309. Самооборона по-хакерски
Аналитики компании FACCT обнаружили новую масштабную фишинговую атаку хак-группы ТА558. Всего за один день злоумышленники разослали фишинговые письма более чем 76 000 целей в 112 странах мира.
По данным исследователей, в основном атака была направлена на российские и белорусские компании из сферы финансов, логистики, строительства, туризма и промышленности.
Фишинговые послания хакеров содержали вложение, загружающее и запускающее RTF-документ, который эксплуатирует старую уязвимость в Microsoft Office (CVE-2017-11882), обнаруженную и исправленную еще в 2017 году, для загрузки и запуска HTA-файла со скрытым обфусцированным VBS-сценарием.
При выполнении этого скрипта на устройстве жертвы запускалась вредоносная программа Remcos RAT, которая позволяет атакующим получить контроль над устройством жертвы.
TA558 представляет собой небольшую финансово-ориентированную группировку, которая активна с 2018 года. Тогда хакеры в основном атаковали гостиничные и туристические организации в Латинской Америке, но также были замечены за атаками на североамериканский регион и Западную Европу.
В прошлом году специалисты FACCT и Positive Technologies предупреждали, что теперь атаки TA558 затрагивают предприятия, государственные учреждения, а также банки в России и Беларуси.
Хакеры активно используют в своих кампаниях многоэтапные фишинговые атаки и социальную инженерию для внедрения малвари на компьютеры жертв, размещения полезных нагрузок на легитимных серверах, а также применяют стеганографию и малварь для кражи данных и удаленного контроля над системами жертв.
