ТА558 ударила по миру: 76 000 фишинговых писем за день

Компания F.A.C.C.T. обнаружила масштабную фишинговую атаку группировки ТА558. Атака произошла 27 января и затронула финансовые, логистические, строительные, туристические и промышленные компании России и Беларуси.

По данным аналитиков, за один день преступники разослали более 76 тысяч фишинговых писем в 112 стран мира. Вложенные файлы в письмах активировали вредоносное ПО, использующее уязвимость CVE-2017-11882. Она позволяет загружать и запускать HTA-файл со скрытым обфусцированным VBS-сценарием, который затем запускает программу Remcos RAT. Это дает злоумышленникам удаленный контроль над системой жертвы.

Группировка ТА558 действует с 2018 года и известна своими многоэтапными атаками, включающими социальную инженерию и вредоносное ПО. В 2024 году специалисты F.A.C.C.T. Threat Intelligence зафиксировали более тысячи атак на российские и белорусские компании, государственные учреждения и банки. Основная цель преступников – кража данных и проникновение во внутренние сети организаций.

Ранее, в апреле 2024 года, специалисты Positive Technologies зафиксировали более 320 атак, совершённых группировкой TA558. Тогда преступники реализовали кампанию SteganoAmor, целью которой стали государственные учреждения, финансовые и промышленные предприятия в разных странах. Атаки начинались с рассылки фишинговых писем с документами Microsoft Office, содержащими эксплойт уязвимости CVE-2017-11882. После открытия файла запускался вредоносный Visual Basic-скрипт, загружавший изображение, внутри которого скрывался зашифрованный код. Далее с помощью PowerShell извлекалась и активировалась финальная вредоносная нагрузка, давая злоумышленникам полный удалённый контроль над системой.

Одной из особенностей той атаки стало использование стеганографии – метода сокрытия вредоносного кода в графических файлах, что позволяло обходить антивирусные решения. Кроме того, TA558 использовала романтическую тематику для маскировки своих инструментов – вредоносные файлы имели названия вроде «greatloverstory.vbs» и «easytolove.vbs». Преступники также активно применяли облачные сервисы, такие как Google Drive, для хранения вредоносных файлов, что усложняло их обнаружение. Хотя основными целями атак становились организации из Латинской Америки, зафиксированы случаи заражения в Северной Америке и Западной Европе.