Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,7 тыс подписчиков

Rock: MaaS-фишинг с RMM-инструментами атакует США

4 мин
Исследование показывает, что под псевдонимами Rock, RockyBelling и Rockky действует индивидуальный киберпреступник, который разрабатывает и продает комплексный набор инструментов под названием The Quarry. Этот комплект работает по моделям Malware-as-a-Service (MaaS) и Phishing as a Service (PhaaS) и, по данным отчета, используется как минимум с апреля 2025 года, хотя есть признаки более ранних дистрибуций. Операция выстроена вокруг фишинговых приманок на тему налогов, имитирующих государственные агентства США, и активно использует легитимные инструменты удаленного мониторинга и управления (RMM), в первую очередь ScreenConnect. По оценке исследователей, более 90% зафиксированных жертв находятся в США. The Quarry — это не один вредоносный файл, а модульная платформа, закрывающая почти весь жизненный цикл атаки. Rock продает доступ к набору инструментов аффилированным лицам, которые затем проводят собственные фишинговые кампании, адаптируя их под разные цели. Такая модель делает инфрастру
Оглавление

Исследование показывает, что под псевдонимами Rock, RockyBelling и Rockky действует индивидуальный киберпреступник, который разрабатывает и продает комплексный набор инструментов под названием The Quarry. Этот комплект работает по моделям Malware-as-a-Service (MaaS) и Phishing as a Service (PhaaS) и, по данным отчета, используется как минимум с апреля 2025 года, хотя есть признаки более ранних дистрибуций.

Операция выстроена вокруг фишинговых приманок на тему налогов, имитирующих государственные агентства США, и активно использует легитимные инструменты удаленного мониторинга и управления (RMM), в первую очередь ScreenConnect. По оценке исследователей, более 90% зафиксированных жертв находятся в США.

Что представляет собой The Quarry

The Quarry — это не один вредоносный файл, а модульная платформа, закрывающая почти весь жизненный цикл атаки. Rock продает доступ к набору инструментов аффилированным лицам, которые затем проводят собственные фишинговые кампании, адаптируя их под разные цели.

Такая модель делает инфраструктуру гибкой: несколько операторов могут использовать один и тот же набор, но оформлять кампании под разные темы. В результате атрибуция атак усложняется, а наблюдаемые приманки могут существенно отличаться друг от друга, несмотря на общую техническую основу.

Основные компоненты набора

Инструментарий Rock охватывает несколько этапов атаки:

  • Remote Access Tools — обычно используют self-hosted RMM;
  • капсуляторы на базе Visual Basic Script (VBS), повышающие эффективность доставки и помогающие избегать обнаружения;
  • модульные фишинговые наборы с настраиваемыми страницами-приманками;
  • механизмы маскировки с применением технологии Adspect для фильтрации нетаргетного трафика;
  • инструменты массовой рассылки, включая Rocky Gmail Sender и Rock VPS Mailer, оснащенные функциями антиобнаружения и рандомизации тем писем.

Отдельно отмечается, что VBS-капсулятор был недавно доработан, чтобы повысить эффективность доставки полезной нагрузки.

Как строятся атаки

На практике аффилированные лица собирают адреса электронной почты и распространяют фишинговые письма, нередко маскируя вредоносную активность ссылками на легитимные hardware и software. Жертвам предлагают загрузить программное обеспечение, якобы необходимое для налоговых целей.

После запуска такого ПО на устройство устанавливается RMM-payload, который позволяет собирать конфиденциальные данные и может способствовать lateral movement внутри целевой организации.

Сценарии обмана строятся вокруг нескольких вводящих в заблуждение нарративов, но объединяет их одно — попытка убедить пользователя самостоятельно запустить вредоносный компонент под видом обычного служебного ПО.

Цели и география

Хотя атаки носят международный характер, подавляющее большинство подтвержденных жертв — из США. Среди наиболее часто упоминаемых целей названы платформы SSA, IRS, Adobe, Dropbox и DocuSign.

По данным отчета, злоумышленники особенно часто нацеливаются на сотрудников в секторах:

  • SaaS;
  • healthcare;
  • financial services.

Разведка и поиск учетных данных

Операция Rock демонстрирует проактивный подход: проводится разведка для выявления раскрытых учетных данных на различных публичных ресурсах. Это позволяет расширять возможности атак и повышать эффективность последующих кампаний.

Сочетание разведки, массовой рассылки, модульных приманок и RMM-инструментов делает инфраструктуру The Quarry особенно гибкой и устойчивой к стандартным мерам противодействия.

Почему эта схема опасна

Эксперты подчеркивают, что деятельность Rock показывает, как один разработчик может заметно влиять на киберпреступный рынок, предлагая легко развертываемое вредоносное ПО в формате сервиса и обеспечивая постоянную поддержку аффилированных операторов.

Именно эта модель — MaaS в сочетании с PhaaS — ускоряет распространение атак и делает их более адаптивными. Для организаций это означает необходимость постоянного мониторинга новых доменов, связанных с операциями Rock, а также усиления мер кибербезопасности.

Продолжающаяся активность и появление новых доменов подчеркивают необходимость проактивных мер кибербезопасности и мониторинга для снижения рисков, связанных с этими развивающимися угрозами.

В условиях, когда один набор инструментов может обслуживать сразу несколько независимых фишинговых кампаний, организациям важно учитывать не только технические индикаторы компрометации, но и поведенческие признаки атак — прежде всего попытки замаскировать вредоносную активность под легитимные налоговые и сервисные уведомления.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Rock: MaaS-фишинг с RMM-инструментами атакует США".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.