Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Масштабная фишинговая кампания TA558 угрожает РФ и Беларуси

2 мин
27 января текущего года киберпреступная группа TA558 запустила масштабную фишинговую кампанию, нацеленную на организации в России и Беларуси. По информации аналитиков из F.A.C.C.T. group, атака затронула многочисленные сектора, включая финансы, логистику, строительство, туризм и промышленность. В ходе фишинговой кампании было использовано специализированное программное обеспечение, которое отправило более 76 000 электронных писем в 112 странах всего за один день. Эти письма чаще всего содержали вложение, направленное на использование уязвимости CVE-2017-11882 в продуктах Microsoft Office. Процесс эксплуатации уязвимости выглядит следующим образом: Данная группа нацелена на кражу конфиденциальной информации и проникновение в системы организаций, что позволяет использовать эти данные в своих интересах. Деятельность TA558 была задокументирована еще с 2018 года, а в 2024 году аналитики отметили резкий рост фишинговой активности. По последним данным, было зафиксировано более тысячи попыток
Оглавление
Источник: habr.com
Источник: habr.com

27 января текущего года киберпреступная группа TA558 запустила масштабную фишинговую кампанию, нацеленную на организации в России и Беларуси. По информации аналитиков из F.A.C.C.T. group, атака затронула многочисленные сектора, включая финансы, логистику, строительство, туризм и промышленность.

Масштабы атаки

В ходе фишинговой кампании было использовано специализированное программное обеспечение, которое отправило более 76 000 электронных писем в 112 странах всего за один день. Эти письма чаще всего содержали вложение, направленное на использование уязвимости CVE-2017-11882 в продуктах Microsoft Office.

Как работает атака

Процесс эксплуатации уязвимости выглядит следующим образом:

  • Жертва открывает вложение, в котором находится документ формата RTF.
  • Документ запускает загрузку и выполнение файла HTA (HTML-приложения).
  • Файл HTA содержит скрытый, запутанный скрипт Visual Basic (VBS).
  • После выполнения скрипта активируется троян Remcos Remote Access Trojan (RAT), который предоставляет злоумышленникам контроль над устройством.

Цели и последствия активности TA558

Данная группа нацелена на кражу конфиденциальной информации и проникновение в системы организаций, что позволяет использовать эти данные в своих интересах. Деятельность TA558 была задокументирована еще с 2018 года, а в 2024 году аналитики отметили резкий рост фишинговой активности.

Современные угрозы

По последним данным, было зафиксировано более тысячи попыток атак, направленных в основном на предприятия, государственные органы и банковские учреждения в России и Беларуси. Основными целями этих атак являются:

  • Извлечение ценных данных.
  • Получение несанкционированного доступа к внутренним системам.

Эксперты F.A.C.C.T. подчеркивают, что TA558 использует многоэтапную тактику фишинга в сочетании с различными методами социальной инженерии, что значительно повышает эффективность их кампаний. Летом 2024 года они поделились информацией о методах работы группы и существующих угрозах, напоминая о постоянном риске от TA558 в киберпространстве.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Масштабная фишинговая кампания TA558 угрожает РФ и Беларуси".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.