Письма от TA558 содержат вложение, загружающее и запускающее RTF-документ, который использует уязвимость CVE-2017-11882 для загрузки и запуска HTA-файла со скрытым обфусцированным VBS-сценарием. При выполнении данного сценария на устройстве жертвы запускается программа Remcos RAT — она позволяет преступникам контролировать устройство жертвы.
Группировка ТА558 активна минимум с 2018 г. В 2024 г. аналитики F.A.C.C.T. Threat Intelligence зафиксировали более тысячи фишинговых рассылок вредоносного ПО, направленных на предприятия, госучреждения и банки в России и Беларуси. Цель атак — кража данных и получение доступа к внутренним системам организаций. Группа использует многоэтапные фишинговые атаки и различные методы социальной инженерии. Напомним, что об атаках TA558 эксперты F.A.C.C.T. подробно рассказывали летом 2024.
Обсудить