СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
27.04.2025
#ИБ#Инфра

Анализ киберугроз: TA558, Blind Eagle и Aggah

Анализ киберугроз: TA558, Blind Eagle и Aggah

Продолжающийся анализ хакерских группировок TA558, Blind Eagle и Aggah выявляет их отличительные оперативные тактики и наборы инструментов. В центре внимания находятся шифровальщики—шифровальщицы, используемые при различных атаках. Однако новые исследования противоречат предположениям о том, что Aggah является подгруппой Blind Eagle.

Разделение и различия среди групп

Детальные исследования показывают, что большая часть предполагаемого совпадения между группами возникает из-за совместного использования криптографов и инструментов, которые представляют собой отдельные сервисы, а не уникальные пользовательские инструменты. Это указывает на то, что, хотя группы могут разделять определенные ТТП (тактику, методы и процедуры) и инфраструктуру, их операционные нюансы остаются различными.

  • TA558: Часто использует специфические шаблоны URL-адресов и имена файлов, которые напрямую не связаны с их инфраструктурой шифровальщиков. Их вредоносные программы имеют уникальные соглашения об именах.
  • Aggah: Известна своими фишинговыми кампаниями, в которых используются вредоносные программы, такие как RevengeRAT, Agent Tesla и различные RAT (трояны удаленного доступа).

Новые данные о активности групп

Несмотря на агрессивные кампании Aggah в последние годы, новые показатели свидетельствуют о том, что группа продолжает свою деятельность, вопреки заявлениям о прекращении в 2022 году. Обе группы используют различные службы динамического DNS, связанные с шифровальщиками и инструментами, но TA558 также применяет многоступенчатые фишинговые векторы для доставки полезной информации.

Стратегии и тактики

Недавние исследования показали, что, хотя Aggah использует бессерверные инфраструктуры, такие как Pastebin и Blogspot, для размещения полезной нагрузки, её действия по-прежнему основываются на знакомых шаблонах сценариев и тактиках социальной инженерии. Тематические кампании, посвященные налоговому сезону, стали особенно заметными.

Связи с участниками и фишинговые операции

Конкретные участники, такие как bukky101 и ABBAS, продемонстрировали связи с хакерскими группами и активно участвовали в фишинговой деятельности, нацеленной на различные страны. Расследования показали значительные масштабы фишинговых операций с географическим фокусом, что свидетельствует о стратегических операционных схемах.

Выводы и важность идентификации угроз

Хотя между группами существуют заметные совпадения, особенно в соглашениях об именовании и общих инструментах, выводы подчеркивают необходимость тщательного определения авторства в среде хакеров. Тщательное изучение цепочек атак и индикаторов демонстрирует, что TA558, Blind Eagle и Aggah действуют независимо, а иногда и взаимозависимо в рамках более широкой киберпреступной экосистемы.

Отслеживание их меняющейся тактики и отличительных особенностей будет иметь решающее значение для будущих усилий по выявлению угроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: