СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 21:30
#ИБ

The Quarry: PhaaS-фишинг под видом госорганов США

The Quarry — это сложная Phishing-as-a-Service (PhaaS)-операция, которую, по данным исследования SOCRadar, возглавляет злоумышленник под псевдонимом RockyBelling. Он продал модульный набор инструментов почти 200 аффилированным лицам, которые используют его для проведения фишинговых кампаний против пользователей, особенно в период tax season в США.

Кампания построена вокруг имитации авторитетных организаций, включая IRS и Social Security Administration, а управление инфраструктурой и уведомлениями о действиях жертв, как утверждается, осуществляется через Telegram.

Как работает The Quarry

По оценке SOCRadar, операция действует как многоэтапная фишинговая экосистема. Ее набор инструментов включает:

  • phishing kits;
  • маскировочные механизмы;
  • RMM software;
  • post-exploitation scripts.

Все эти компоненты рассчитаны на использование текущих событий и доверия пользователей к официальным сообщениям, связанным с налогами и государственными услугами.

Особую роль в схеме играет использование легитимного Remote Monitoring and Management (RMM) software, прежде всего ScreenConnect. Такой подход позволяет злоумышленникам обходить обнаружение по стандартным сигнатурам malware и выдавать вредоносную активность за обычное администрирование.

Маскировка и фильтрация жертв

Еще один элемент арсенала — Adspect, который используется для трафик-обфускации. Механизм устроен так, что только реальные жертвы видят фишинговые страницы, тогда как автоматические сканеры и исследовательские системы перенаправляются в другое место.

Жизненный цикл атаки, по данным отчета, выглядит следующим образом:

  1. массовая рассылка фишинговых писем;
  2. использование приманок, связанных с налоговыми документами США;
  3. проверка операционной системы и включение маскировки;
  4. показ адаптированного фишингового контента, имитирующего доверенные платформы;
  5. загрузка вредоносного RMM installer, открывающего оператору доступ к устройству жертвы.

VBS dropper и мгновенная доставка payload

Значительным обновлением в арсенале The Quarry стал Visual Basic Script (VBS) dropper, представленный в апреле 2026 года. Он позволяет полностью обойти необходимость взаимодействия с browser: вредоносная payload выполняется сразу после открытия жертвой attachment.

Этот dropper запрашивает повышенные privileges и одновременно загружает RMM installer и files-приманки. Такая схема дополнительно скрывает вредоносную активность и создает видимость легитимного процесса.

Post-exploitation: кража данных и дальнейшее использование учетных записей

После успешного заражения The Quarry использует набор инструментов для data exfiltration. Среди них — скрипты для:

  • сбора browser history;
  • поиска конфиденциальных документов;
  • выявления форм W-2.

По мнению исследователей, операция может иметь связи с активностью Initial Access Brokers (IAB). Украденные credentials могут перепродаваться другим cybercrime-группировкам для дальнейшей эксплуатации, включая развертывание ransomware.

«The Quarry демонстрирует, насколько быстро PhaaS-экосистема адаптируется к текущим событиям и использует доверие к государственным каналам коммуникации», — следует из анализа SOCRadar.

IoCs и признаки компрометации

SOCRadar указала Indicators of Compromise (IoCs), которые помогают выявлять следы активности The Quarry. Ключевые сигналы включают:

  • domain names, сочетающие financial terms с дескрипторами portals;
  • специфические PHP filenames, уникальные для этого toolkit;
  • необычные события установки RMM tools на endpoints.

Что рекомендуют исследователи

Чтобы снизить риски, связанные с подобными фишинговыми атаками, организациям рекомендуется:

  • ограничивать несанкционированное использование RMM tools;
  • отслеживать неожиданный traffic к Telegram API;
  • обучать сотрудников распознавать phishing attempts, особенно имитирующие communications от государственных органов;
  • непрерывно мониторить инфраструктуру и адаптировать defense strategies.

По мере того как The Quarry развивается и расширяет свой модульный набор инструментов, именно постоянное наблюдение и гибкая защита становятся ключевыми условиями противодействия этой угрозе.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: