СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
19.04.2025
#Dev#ИБ#Инфра

Сложная кибератака TaxOff: угроза для инфраструктуры

Сложная кибератака TaxOff: угроза для инфраструктуры

Источник: ptsecurity.com

В марте 2025 года мир кибербезопасности вновь был потрясён серьёзной атакой, приписываемой группе хакеров TaxOff. Использование уязвимости нулевого дня CVE-2025-2783, касающейся браузера Chrome, стало основой для взлома, который продемонстрировал не только техническое мастерство злоумышленников, но и их связь с другой известной группировкой — Team46.

Схема атаки

Атака была инициирована с помощью фишингового электронного письма, содержащее ссылку на вредоносный форум, что привело к установке бэкдора Trinper на устройства жертв. Анализ последовательности атак выявил следующие ключевые элементы:

  • Первичным источником заражения стал сценарий Powershell, активированный пользователем.
  • Ссылки на электронную почту и документы имели ту же структуру именования, что и в предыдущих инцидентах с Team46, подтверждая общую методику.
  • В ходе более ранней атаки в октябре 2024 года использовался браузер Yandex и метод перехвата библиотек DLL, нацеленный на rdpclip.exe.

Технические характеристики вредоносного ПО

Бэкдор Trinper использовался для отправки команд с контролируемого сервера, расположенного по адресу common-rdp-front.global.ssl.fastly.net. При этом применялись различные методы шифрования и хеширования, такие как модифицированные алгоритмы ChaCha20 и BLAKE2. Эти технологии не просто защищают вредоносную активность, но и затрудняют работу криминалистов.

Связь между группами

Анализ текущей информации показывает, что TaxOff и Team46, вероятно, представляют собой элементы одной и той же APT-группы. Это подтверждается следующими аспектами:

  • Схожесть в архитектуре вредоносного программного обеспечения.
  • Использование схожих методов атаки и схем именования файлов.
  • Настойчивость и изощренность тактик, направленных на проникновение в защищённые системы.

Таким образом, характеристики атакующих, такие как эффективность использования эксплойтов нулевого дня и развертывание сложных вредоносных программ, указывают на стратегический подход к обеспечению долгосрочного доступа к скомпрометированным системам. Эти хакеры представляют собой значительную угрозу для целевой инфраструктуры, что требует внимания со стороны специалистов в области кибербезопасности.

Опытные эксперты подчеркивают необходимость разработки новых методик защиты и повышения уровня осведомленности пользователей о фишинговых атаках для снижения рисков подобных инцидентов в будущем.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: