Группа Insikt выявила сложную инфраструктуру, связанную с системой распределения трафика (TDS), известной как TAG-124. Эта система связана с различными кластерами угроз, включая LandUpdate808, 404TDS, KongTuke и Chaya_002. В данной статье мы расскажем о характеристиках TAG-124, его методах работы и последствиях для безопасности пользователей.
Что такое TAG-124?
TAG-124 является обширной системой, состоящей из:
- Скомпрометированных сайтов WordPress;
- Серверов полезной нагрузки, управляемых злоумышленниками;
- Центрального сервера;
- Подозрительного сервера управления;
- Дополнительной панели;
- Других компонентов.
Хакеры, стоящие за TAG-124, проявляют высокую активность, постоянно обновляя URL на взломанных сайтах и адаптируя свою тактику заражения. Используя метод ClickFix, они манипулируют пользователями, заставляя их загружать вредоносное ПО, часто замаскированное под обновление Google Chrome.
Потенциальные угрозы
Множество хакеров используют TAG-124 в своих цепочках заражения. К ним относятся операторы программ-вымогателей:
- Rhysida;
- Interlock;
- TA866/Asylum Ambuscade;
- SocGholish;
- D3F@CK Loader;
- TA582.
Совместное использование TAG-124 укрепляет связи между программами-вымогателями, благодаря сходству в тактике, инструментах и методах шифрования. Ожидается, что TAG-124 продолжит развиваться в рамках экосистемы киберпреступников, привлекая всё больше пользователей и партнеров.
Методы работы и признаки заражения
Инфраструктура TAG-124 включает обширную сеть скомпрометированных сайтов WordPress. Игнорирование единой тематики предполагает, что многие сайты могли быть скомпрометированы случайно через эксплойти или кражу учетных данных. Некоторые из следующих признаков могут свидетельствовать о заражении:
- Появление поддельных целевых страниц с обновлениями Google Chrome;
- Использование нескольких доменов, имитирующих известные бренды;
- Наличие вредоносных программ, таких как REMCOS RAT.
Хакеры используют эти страницы, чтобы побудить пользователей загружать вредоносное ПО. Наблюдаемая активность серверов доставки, начиная с ноября 2024 года, также указывает на рост угрозы.
Заключение
TAG-124 представляет собой серьезную угрозу для всех пользователей интернета. Обновление безопасности и бдительность при работе с веб-сайты смогут помочь в предотвращении заражения и защищенности личной информации. Важно следить за новыми методами киберпреступлений и своевременно обновлять защитное ПО.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Инфраструктура TAG-124: новая угроза в киберпространстве".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.