Positive Technologies: группировка, известная кибератаками на Латинскую Америку, добралась до России
Специалисты экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC) обнаружили серию атак по всему миру. Особый «почерк» злоумышленников позволяет экспертам утверждать, что вероятнее всего эти атаки связаны с группировкой TA558. Хакерская группировка, замеченная с 2018 г. в странах Латинской Америки, расширяет географию: в топ-10 жертв попали компании из Турции, Румынии и России.
«В исследованных нами атаках группа активно использовала технику стеганографии: файлы полезной нагрузки передавались внутри картинок. Помимо стеганографии, группа таким же образом использовала текстовые сервисы. Интересно, что в цепочках одновременно использовались сразу оба метода для лучшей защиты от обнаружения, – сказал Александр Бадаев, специалист отдела исследования угроз информационной безопасности экспертного центра безопасности Positive Technologies. – Большинство названий вредоносных файлов содержали слово "любовь” (love), поэтому мы назвали эту операцию SteganoAmor. Все это помогло нам обнаружить связи между различными элементами атаки и установить, что они относятся к одной и той же группе».
По данным отчета, группировка использует легитимные сервисы для хранения строчек вредоносного ПО и картинок с вредоносным кодом. В атаках хакеры применяли широко известное ПО, среди которого Agent Tesla, FormBook, Remcos, LokiBot, GuLoader, Snake Keylogger, XWorm.
Изучив все детали и существующие исследования, специалисты PT ESC связали эти атаки с группировкой TA558, известной своим интересом к компаниям из стран Латинской Америки (в основном туристического и гостиничного бизнеса). В ходе анализа было обнаружено множество семплов, направленных на различные секторы и страны. К экспертам попало несколько сотен фишинговых писем, отправленных разным компаниям. Более 50 атак предназначалась российским, румынским и турецким компаниям.
Всего в ходе исследования специалисты Positive Technologies выявили более 320 атак, направленных на компании из 31 страны, в том числе из США, Германии, Индии. Среди наиболее пострадавших отраслей — промышленность (21%), сфера услуг (16%), государственный сектор (16%), электроэнергетика (8%) и строительство (8%).
Обнаружить подобные атаки можно с помощью специализированных средств защиты, а для анализа атак и их предотвращения необходимо привлекать профессионалов в расследовании киберинцидентов. Так, система MaxPatrol SIEM может обнаружить не только ключевое событие — кражу данных, но и предшествующие этапы — фишинг и передачу данных — с помощью определенных правил. MaxPatrol EDR позволит выявить и остановить работу данного ВПО на конечных точках: стационарных компьютерах, ноутбуках, виртуальных рабочих местах и серверах. PT Network Attack Discovery (PT NAD) также обнаруживает действия группировки. Для поиска обращений к вредоносным индикаторам группировки TA558 в PT NAD воспользуйтесь фильтром: rpt.cat ~ "ESC-manual-ta558-*". Для обнаружения активности упомянутого в отчете вредоносного ПО в наборе экспертизы существуют более 40 правил. Песочница PT Sandbox с помощью механизмов поведенческого анализа детектирует вредоносное программное обеспечение, которое использует группировка для фишинговых атак. А онлайн-сервис PT Knockin может превентивно проверить, справятся ли средства защиты почты, используемые в компании, с атаками TA558.