- 19,438
- 40
- 8 Ноя 2022
Он не ломает двери, он пользуется тем, что вы оставили открытым сами.
В марте 2025 года специалисты Positive Technologies Для просмотра ссылки Войдиили Зарегистрируйся серию целенаправленных атак на российские организации с применением ранее неизвестной уязвимости в Google Chrome. За кибероперацией стояла группа Для просмотра ссылки Войди или Зарегистрируйся , которая использовала эксплойт Для просмотра ссылки Войди или Зарегистрируйся для установки мощного бэкдора под названием Trinper. Уязвимость уже закрыта, но атака продемонстрировала, насколько опасны цепочки взлома на основе уязвимостей нулевого дня.
Начальной точкой заражения стало фишинговое письмо, замаскированное под приглашение на форум Для просмотра ссылки Войдиили Зарегистрируйся . Клик по ссылке в письме приводил к однокликовому запуску эксплойта, после чего на машину жертвы устанавливался троян Trinper. Аналогичная схема наблюдалась ещё в октябре 2024 года, когда вредонос распространялся через приглашения на конференцию по безопасности Союзного государства.
Trinper написан на C++ и использует многопоточность для одновременного сбора информации о системе, записи нажатий клавиш и кражи файлов определённых форматов, включая .doc, .xls, .ppt, .rtf и .pdf. Бэкдор устанавливает связь с удалённым сервером управления (C2), откуда получает команды: от запуска командной строки и создания обратного шелла до изменения каталогов и самоуничтожения. Благодаря многопоточности Trinper способен не только эффективно скрываться, но и поддерживать постоянный обмен данными с сервером, загружать дополнительные модули и выполнять сложные сценарии.
В качестве загрузчика вредоносного ПО использовались инструменты Donut и Cobalt Strike. В одном из случаев вредоносный код распространялся через ZIP-архив, содержащий ярлык Windows, запускающий PowerShell-команду, которая загружала поддельный документ и активировала установку Trinper.
По данным Positive Technologies, поведенческий анализ цепочки заражения выявил сходства с атаками другой хак-группы, известной как Team46. Более того, за месяц до мартовского инцидента были зафиксированы похожие фишинговые письма якобы от имени компании Ростелеком, в которых говорилось о технических работах. Они также содержали ZIP-файл с ярлыком, запускающим PowerShell и загружающим бэкдор.
Ещё один эпизод, Для просмотра ссылки Войдиили Зарегистрируйся в сентябре 2024 года компанией Доктор Веб, связан с атакой на логистическую компанию, в которой использовалась Для просмотра ссылки Войди или Зарегистрируйся нулевого дня Для просмотра ссылки Войди или Зарегистрируйся в Яндекс.Браузере. Вредоносный код подменял DLL-файлы в системе (DLL Hijacking), позволяя загружать и исполнять произвольное ПО. Уязвимость была устранена только в сентябре 2024 года, после выхода версии 24.7.1.380.
По мнению специалистов, TaxOff обладает устойчивыми возможностями для проведения сложных и целенаправленных атак. Использование эксплойтов нулевого дня и кастомных бэкдоров свидетельствует о стратегической нацеленности группы на долгосрочное присутствие в инфраструктуре жертв. Векторы атак, почтовые приманки и методы доставки вредоносного ПО демонстрируют высокий уровень подготовки и ориентированность на специфические цели — от госструктур до промышленности.
В марте 2025 года специалисты Positive Technologies Для просмотра ссылки Войди
Начальной точкой заражения стало фишинговое письмо, замаскированное под приглашение на форум Для просмотра ссылки Войди
Trinper написан на C++ и использует многопоточность для одновременного сбора информации о системе, записи нажатий клавиш и кражи файлов определённых форматов, включая .doc, .xls, .ppt, .rtf и .pdf. Бэкдор устанавливает связь с удалённым сервером управления (C2), откуда получает команды: от запуска командной строки и создания обратного шелла до изменения каталогов и самоуничтожения. Благодаря многопоточности Trinper способен не только эффективно скрываться, но и поддерживать постоянный обмен данными с сервером, загружать дополнительные модули и выполнять сложные сценарии.
В качестве загрузчика вредоносного ПО использовались инструменты Donut и Cobalt Strike. В одном из случаев вредоносный код распространялся через ZIP-архив, содержащий ярлык Windows, запускающий PowerShell-команду, которая загружала поддельный документ и активировала установку Trinper.
По данным Positive Technologies, поведенческий анализ цепочки заражения выявил сходства с атаками другой хак-группы, известной как Team46. Более того, за месяц до мартовского инцидента были зафиксированы похожие фишинговые письма якобы от имени компании Ростелеком, в которых говорилось о технических работах. Они также содержали ZIP-файл с ярлыком, запускающим PowerShell и загружающим бэкдор.
Ещё один эпизод, Для просмотра ссылки Войди
По мнению специалистов, TaxOff обладает устойчивыми возможностями для проведения сложных и целенаправленных атак. Использование эксплойтов нулевого дня и кастомных бэкдоров свидетельствует о стратегической нацеленности группы на долгосрочное присутствие в инфраструктуре жертв. Векторы атак, почтовые приманки и методы доставки вредоносного ПО демонстрируют высокий уровень подготовки и ориентированность на специфические цели — от госструктур до промышленности.
- Источник новости
- www.securitylab.ru
