Компания F.A.C.C.T., российский разработчик технологий для борьбы с киберпреступлениями, обнаружила масштабную фишинговую атаку группы ТА558.
Злоумышленники из TA558 провели атаку 27 января. Она была нацелена на российские и белорусские компании из сферы финансов, логистики, строительства, туризма и промышленности. Всего за один день, по данным аналитиков F.A.C.C.T., злоумышленники с помощью специального софта разослали письма более чем 76 тыс. целям из 112 стран мира.
Письма от TA558 содержат вложение, загружающее и запускающее RTF-документ, который использует уязвимость CVE-2017-11882 для загрузки и запуска HTA-файла со скрытым обфусцированным VBS-сценарием. При выполнении данного сценария на устройстве жертвы запускается программа Remcos RAT — она позволяет преступникам контролировать устройство жертвы.
Группировка ТА558 активна минимум с 2018 года. В 2024 году аналитики F.A.C.C.T. Threat Intelligence зафиксировали более тысячи фишинговых рассылок вредоносного ПО, направленных на предприятия, госучреждения и банки в России и Беларуси. Цель атак — кража данных и получение доступа к внутренним системам организаций. Группа использует многоэтапные фишинговые атаки и различные методы социальной инженерии. Об атаках TA558 эксперты F.A.C.C.T. подробно рассказывали летом 2024.
