Новые хакеры TA2726 и TA2727: угроза веб-вредоносам

В недавнем отчете компании Proofpoint были выявлены два новых хакера-киберпреступника, известные под именами TA2726 и TA2727. Оба участника активно участвуют в кампаниях, связанных с внедрением вредоносных веб-сайтов и распространением вредоносного ПО. Ситуация в области угроз кибербезопасности быстро меняется, а появление множества подражателей значительно усложняет отслеживание этих кампаний.
Цепочка атак и методы работы
Как правило, цепочка атак включает в себя три ключевых элемента:
- Вредоносные программы JavaScript, предназначенные для посетителей веб-сайта;
- Служба распределения трафика (TDS), которая направляет пользователей к определенным полезным ресурсам;
- Полезная нагрузка, которая в конечном итоге загружается.
Исторически, злоумышленник TA569 был основным оператором в этой области, используя злоумышленное ПО SocGholish. Однако с начала 2023 года появилось множество имитаторов, использующих аналогичные методы.
Роль TA2726 и TA2727
TA2726 функционирует в основном как TDS, управляя сетью, которая перенаправляет трафик с целью помощи другим хакерам в распространении вредоносного ПО. Этот участник активно связан с компрометацией веб-сайтов, особенно на североамериканском рынке, перенаправляя трафик на TA569 и облегчая другие полезные функции по всему миру с помощью TA2727.
Деятельность TA2726 характеризуется:
- Использованием специфических инфраструктур;
- Сотрудничеством с известными доменами, такими как blackshelter.org.
С другой стороны, TA2727 не только взаимодействует с финансово мотивированными участниками, такими как TA569, но и распространяет свои собственные вредоносные программы. Недавние атаки, связанные с TA2727, включают:
- Распространение FrigidStealer — похитителя информации для macOS;
- Варианты, такие как Lumma Stealer и DeerStealer для Windows;
- Банковский троян Marcher для Android.
Тактика хакеров
В рамках кампаний пользователи становились жертвами атак путем перехода по поддельным ссылкам, которые инициировали загрузку вредоносных программ, замаскированных под законные обновления программного обеспечения. Эта тактика успешно применялась как в системах Windows, так и в macOS. В частности, FrigidStealer предназначен для сбора конфиденциальной информации, такой как файлы cookie браузера, пароли и данные о криптовалюте.
Анализ и рекомендации
Proofpoint продолжает отслеживать веб-вредоносные программы, отмечая значительное увеличение масштабов атак. Это связано с усилиями хакеров адаптировать свои методы под конкретные пользовательские среды, включая корпоративные и потребительские настройки, а также нацеливание на менее распространенные системы macOS в корпоративном контексте.
Поскольку эти кампании продолжают развиваться, выявление и понимание таких участников и их методологий имеет решающее значение для обеспечения постоянной защиты от киберугроз.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



