Positive Technologies сообщила о новой группировке, использующей сложный бэкдор в атаках на российский госсектор

  

Специалисты департамента исследования угроз экспертного центра безопасности Positive Technologies обнаружили новую APT-группировку, которая атакует организации российского государственного сектора, сообщает PT в четверг. В зафиксированной серии инцид...

Нояб 28, 2024
Positive Technologies сообщила о новой группировке, использующей сложный бэкдор в атаках на российский госсектор

Специалисты департамента исследования угроз экспертного центра безопасности Positive Technologies обнаружили новую APT-группировку, которая атакует организации российского государственного сектора, сообщает PT в четверг.

В зафиксированной серии инцидентов для проникновения в IT-инфраструктуру злоумышленники использовали фишинговые электронные письма на темы финансов и права — в связи с этим эксперты назвали группировку TaxOff. Киберпреступники применяли в атаках высокотехнологичный бэкдор, который способен оставаться незаметным даже при одновременном выполнении множества задач.

Группировка преследовала две основные цели — шпионаж и закрепление в инфраструктуре для развития дальнейших атак. Эксперты обнаружили несколько фишинговых писем, которые использовались как начальные векторы проникновения. В одном из них была ссылка на облачное хранилище с вредоносным содержимым, в другом — поддельный установщик специального ПО для госслужащих, предназначенного для заполнения различных справок.

Взаимодействие с письмами вело к заражению сложным бэкдором — эксперты назвали его Trinper. Вредонос написан на языке C++ и имеет многопоточную архитектуру, что позволяло ему параллельно выполнять разные действия: собирать и выгружать данные, мониторить файловую систему на появление чувствительных данных, поддерживать связь с командно-контрольным сервером. В бэкдоре реализована уникальная конфигурация, которая обеспечивают гибкую настройку Trinper. Кроме того, бэкдор кэширует часто используемые данные и за счет этого быстрее выполняет операции, повышая свою производительность.

«Благодаря многопоточности и другим архитектурным особенностям Trinper дает злоумышленникам возможность получать устойчивый доступ к скомпрометированным системам и одновременно выполнять многочисленные вредоносные действия. При этом бэкдор не оказывает значительного влияния на производительность инфраструктуры, поэтому может долгое время оставаться незамеченным, — комментирует Владислав Лунин, старший специалист группы исследования сложных угроз, экспертного центра безопасности Positive Technologies. — Сочетание высокотехнологичного вредоноса с приманками на волнующие темы делает атаки TaxOff особенно опасными и трудными для обнаружения. Это подчеркивает необходимость регулярного повышения осведомленности сотрудников организаций об актуальных киберугрозах и построения многоуровневой защиты от сложных инцидентов».

Чтобы не стать жертвами подобных атак, эксперты советуют пользователям соблюдать стандартные правила кибергигиены: внимательно читать электронные письма от любых отправителей, не открывать подозрительные вложения и не переходить по сомнительным ссылкам, даже если темы сообщений крайне актуальны. Компаниям специалисты рекомендуют тщательно проверять сетевой трафик, чтобы своевременно обнаруживать скрытые киберугрозы. Эксперты также подчеркивают важность непрерывного мониторинга событий ИБ и оценки защищенности электронной почты.