TA558, Aggah и Blind Eagle: совпадение, копипаста или синдикат?
Как Crypters And Tools спутал карты аналитикам.
Анализ вредоносного сервиса Crypters And Tools, проведённый специалистами департамента Threat Intelligence экспертного центра безопасности Positive Technologies, показал возможную связанность киберпреступных групп Aggah, Blind Eagle и TA558. Ранее исследователи выяснили, что Crypters And Tools использовался для маскировки вредоносного ПО, а доступ к нему предоставлялся по подписке (crypter-as-a-service, CaaS).
В ходе анализа специалисты PT ESC TI определили, что этот инструмент применялся как минимум шестью различными группировками, включая Aggah, Blind Eagle и TA558. Изучение конкретных атак позволило идентифицировать пользователей сервиса, связанных с группировками TA558 и Blind Eagle.
Анализ показал, что в кампаниях групп Aggah и TA558 за период с 2018 по 2024 год имеются сходства в географии атак, используемых вредоносных программах, заражённых документах и их метаданных. Обе группы использовали аббревиатуру C.D.T. Пересечения с активностью этих группировок также зафиксированы и в операциях Blind Eagle, в том числе нацеливание на страны Латинской Америки, использование общей инфраструктуры Crypters And Tools и одинакового набора вредоносного ПО: Remcos RAT, AsyncRAT, NjRAT, LimeRAT.
Специалисты PT ESC TI обращают внимание, что особенности Crypters And Tools ранее ошибочно приписывались самим группировкам, что создавало представление о более тесной связи между ними. В частности, исследователи компании Qi An Xin предполагали, что Aggah может быть подгруппой Blind Eagle. По словам Александра Бадаева, специалиста по киберразведке PT ESC TI, не исключается такая возможность, однако выявленные пересечения могут объясняться именно использованием общего инструментария — Crypters And Tools. При более глубоком анализе различия в подходах и тактике становятся очевидными.
Несмотря на то что активность Aggah не фиксировалась с 2022 года, по данным PT ESC TI, группа продолжает атаки. Однако в последних наблюдаемых инцидентах Crypters And Tools уже не использовался — либо использование происходило вне зоны наблюдения специалистов. Группировки TA558 и Blind Eagle продолжают применять этот сервис.
По оценке Positive Technologies, популярность сервисов типа CaaS продолжает расти. Такие инструменты делают продвинутые методы атаки доступными даже малоопытным злоумышленникам. Для защиты от подобных угроз рекомендуется использование решений для анализа сетевого трафика, средств защиты конечных точек и регулярное обучение сотрудников методам выявления атак социальной инженерии.