В марте 2025 года мир кибербезопасности вновь был потрясён серьёзной атакой, приписываемой группе хакеров TaxOff. Использование уязвимости нулевого дня CVE-2025-2783, касающейся браузера Chrome, стало основой для взлома, который продемонстрировал не только техническое мастерство злоумышленников, но и их связь с другой известной группировкой — Team46.
Схема атаки
Атака была инициирована с помощью фишингового электронного письма, содержащее ссылку на вредоносный форум, что привело к установке бэкдора Trinper на устройства жертв. Анализ последовательности атак выявил следующие ключевые элементы:
- Первичным источником заражения стал сценарий Powershell, активированный пользователем.
- Ссылки на электронную почту и документы имели ту же структуру именования, что и в предыдущих инцидентах с Team46, подтверждая общую методику.
- В ходе более ранней атаки в октябре 2024 года использовался браузер Yandex и метод перехвата библиотек DLL, нацеленный на rdpclip.exe.
Технические характеристики вредоносного ПО
Бэкдор Trinper использовался для отправки команд с контролируемого сервера, расположенного по адресу common-rdp-front.global.ssl.fastly.net. При этом применялись различные методы шифрования и хеширования, такие как модифицированные алгоритмы ChaCha20 и BLAKE2. Эти технологии не просто защищают вредоносную активность, но и затрудняют работу криминалистов.
Связь между группами
Анализ текущей информации показывает, что TaxOff и Team46, вероятно, представляют собой элементы одной и той же APT-группы. Это подтверждается следующими аспектами:
- Схожесть в архитектуре вредоносного программного обеспечения.
- Использование схожих методов атаки и схем именования файлов.
- Настойчивость и изощренность тактик, направленных на проникновение в защищённые системы.
Таким образом, характеристики атакующих, такие как эффективность использования эксплойтов нулевого дня и развертывание сложных вредоносных программ, указывают на стратегический подход к обеспечению долгосрочного доступа к скомпрометированным системам. Эти хакеры представляют собой значительную угрозу для целевой инфраструктуры, что требует внимания со стороны специалистов в области кибербезопасности.
Опытные эксперты подчеркивают необходимость разработки новых методик защиты и повышения уровня осведомленности пользователей о фишинговых атаках для снижения рисков подобных инцидентов в будущем.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Сложная кибератака TaxOff: угроза для инфраструктуры".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.