СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
16 июня
#ИБ

Rock: MaaS-фишинг с RMM-инструментами атакует США

Исследование показывает, что под псевдонимами Rock, RockyBelling и Rockky действует индивидуальный киберпреступник, который разрабатывает и продает комплексный набор инструментов под названием The Quarry. Этот комплект работает по моделям Malware-as-a-Service (MaaS) и Phishing as a Service (PhaaS) и, по данным отчета, используется как минимум с апреля 2025 года, хотя есть признаки более ранних дистрибуций.

Операция выстроена вокруг фишинговых приманок на тему налогов, имитирующих государственные агентства США, и активно использует легитимные инструменты удаленного мониторинга и управления (RMM), в первую очередь ScreenConnect. По оценке исследователей, более 90% зафиксированных жертв находятся в США.

Что представляет собой The Quarry

The Quarry — это не один вредоносный файл, а модульная платформа, закрывающая почти весь жизненный цикл атаки. Rock продает доступ к набору инструментов аффилированным лицам, которые затем проводят собственные фишинговые кампании, адаптируя их под разные цели.

Такая модель делает инфраструктуру гибкой: несколько операторов могут использовать один и тот же набор, но оформлять кампании под разные темы. В результате атрибуция атак усложняется, а наблюдаемые приманки могут существенно отличаться друг от друга, несмотря на общую техническую основу.

Основные компоненты набора

Инструментарий Rock охватывает несколько этапов атаки:

  • Remote Access Tools — обычно используют self-hosted RMM;
  • капсуляторы на базе Visual Basic Script (VBS), повышающие эффективность доставки и помогающие избегать обнаружения;
  • модульные фишинговые наборы с настраиваемыми страницами-приманками;
  • механизмы маскировки с применением технологии Adspect для фильтрации нетаргетного трафика;
  • инструменты массовой рассылки, включая Rocky Gmail Sender и Rock VPS Mailer, оснащенные функциями антиобнаружения и рандомизации тем писем.

Отдельно отмечается, что VBS-капсулятор был недавно доработан, чтобы повысить эффективность доставки полезной нагрузки.

Как строятся атаки

На практике аффилированные лица собирают адреса электронной почты и распространяют фишинговые письма, нередко маскируя вредоносную активность ссылками на легитимные hardware и software. Жертвам предлагают загрузить программное обеспечение, якобы необходимое для налоговых целей.

После запуска такого ПО на устройство устанавливается RMM-payload, который позволяет собирать конфиденциальные данные и может способствовать lateral movement внутри целевой организации.

Сценарии обмана строятся вокруг нескольких вводящих в заблуждение нарративов, но объединяет их одно — попытка убедить пользователя самостоятельно запустить вредоносный компонент под видом обычного служебного ПО.

Цели и география

Хотя атаки носят международный характер, подавляющее большинство подтвержденных жертв — из США. Среди наиболее часто упоминаемых целей названы платформы SSA, IRS, Adobe, Dropbox и DocuSign.

По данным отчета, злоумышленники особенно часто нацеливаются на сотрудников в секторах:

  • SaaS;
  • healthcare;
  • financial services.

Разведка и поиск учетных данных

Операция Rock демонстрирует проактивный подход: проводится разведка для выявления раскрытых учетных данных на различных публичных ресурсах. Это позволяет расширять возможности атак и повышать эффективность последующих кампаний.

Сочетание разведки, массовой рассылки, модульных приманок и RMM-инструментов делает инфраструктуру The Quarry особенно гибкой и устойчивой к стандартным мерам противодействия.

Почему эта схема опасна

Эксперты подчеркивают, что деятельность Rock показывает, как один разработчик может заметно влиять на киберпреступный рынок, предлагая легко развертываемое вредоносное ПО в формате сервиса и обеспечивая постоянную поддержку аффилированных операторов.

Именно эта модель — MaaS в сочетании с PhaaS — ускоряет распространение атак и делает их более адаптивными. Для организаций это означает необходимость постоянного мониторинга новых доменов, связанных с операциями Rock, а также усиления мер кибербезопасности.

Продолжающаяся активность и появление новых доменов подчеркивают необходимость проактивных мер кибербезопасности и мониторинга для снижения рисков, связанных с этими развивающимися угрозами.

В условиях, когда один набор инструментов может обслуживать сразу несколько независимых фишинговых кампаний, организациям важно учитывать не только технические индикаторы компрометации, но и поведенческие признаки атак — прежде всего попытки замаскировать вредоносную активность под легитимные налоговые и сервисные уведомления.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: