Специалисты Positive Technologies установили, что группировки Team46 и TaxOff тесно связаны между собой или, вероятно, являются одной хак-группой. Совпадения были найдены в их инструментах, инфраструктуре и тактиках атак, включая использование уязвимости нулевого дня.

Исследование началось с изучения атаки, произошедшей в марте 2025 года, в которой злоумышленники использовали уязвимость нулевого дня CVE-2025-2783 в браузере Chrome. Тогда эксплуатацию уязвимости и саму атаку описали исследователи из «Лаборатории Касперского», однако цепочка заражения осталась без атрибуции. Специалисты Positive Technologies отнесли к группировке TaxOff.

Дальнейший анализ этого инцидента выявил ряд совпадений с атаками, приписываемыми другой хак-группе — Team46. В частности, были замечены схожие тактики, техники и процедуры (включая использование фишинговых писем и PowerShell-скриптов), инструменты (в том числе загрузчик Trinper), а также совпадения в инфраструктуре (включая доменные имена, мимикрирующие под легитимные сервисы).

При этом Team46 ранее была замечена в атаках, использующих уязвимость DLL hijacking в Яндекс.Браузере (CVE-2024-6473), о чем в прошлом году детально рассказывали эксперты «Доктор Веб».

Так, в обоих случаях при скачивании документа-приманки использовался User-Agent Edge, а при скачивании полезной нагрузки User-Agent Яндекс.Браузера. Кроме того, в обоих случаях через параметр query передавалось имя компьютера.

Отличалась только полезная нагрузка. Если в прошлогодней атаке хакеры применяли для запуска вредоносной нагрузки  уязвимость DLL hijacking для Яндекс.Браузера с подменой библиотеки Wldp.dll, то в новом инциденте использовался системный компонент rdpclip.exe, также уязвимый к DLL hijacking, с подменой системной библиотеки winsta.dll.

«Наши исследования показывают, что Team46 и TaxOff с высокой вероятностью являются одной и той же группировкой. Исследованное нами вредоносное программное обеспечение успешно запустится только на определенных компьютерах, так как ключ расшифрования основного функционала зависит от параметров компьютера, на котором он запускается. Это может говорить о направленности атак на конкретных лиц. А использование эксплоитов нулевого дня позволяет хакерам эффективно проникать в защищенные инфраструктуры», — комментирует Станислав Пыжов, ведущий специалист группы исследования сложных угроз PT ESC TI.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии