Специалисты департамента Threat Intelligence экспертного центра безопасности Positive Technologies (PT ESC TI) установили, что ранее известные группировки Team46 и TaxOff, вероятно, являются одной и той же группой киберпреступников. Исследование показало совпадения в их инструментах, инфраструктуре и тактиках атак, включая использование уязвимости нулевого дня. Об этом CNews сообщили представители Positive Technologies.
Исследование началось с изучения атаки марта 2025 г., в которой злоумышленники использовали уязвимость нулевого дня CVE-2025-2783 в браузере Chrome. Эксперты PT ESC TI отнесли ее к группировке TaxOff.
Дальнейший анализ показал ряд совпадений с атаками, приписываемыми группировке Team46. В частности, были выявлены схожие тактики, техники и процедуры (включая использование фишинговых писем и PowerShell-скриптов), инструменты (в том числе загрузчик Trinper), а также инфраструктура (включая доменные имена, мимикрирующие под легитимные сервисы).
«Наши исследования показывают, что Team46 и TaxOff с высокой вероятностью являются одной и той же группировкой, — сказал ведущий специалист группы исследования сложных угроз PT ESC TI Станислав Пыжов. — Исследованное нами вредоносное программное обеспечение успешно запустится только на определенных компьютерах т.к. ключ расшифрования основного функционала зависит от параметров компьютера, на котором он запускается. Это может говорить о направленности атак на конкретных лиц. А использование эксплойтов нулевого дня позволяет хакерам эффективно проникать в защищенные инфраструктуры».
Группировка Team46 была ранее замечена в атаках, использующих уязвимость DLL hijacking в Яндекс.Браузере (CVE-2024-6473). Группировка TaxOff известна использованием бэкдора Trinper.
Для обнаружения активности, связанной с этой группировкой, эксперты Positive Technologies рекомендуют тщательно проверять сетевой трафик — с этой задачей поможет PT Network Attack Discovery. Еще одна обязательная мера для построения проактивной защиты — внедрение песочницы, например PT Sandbox. Она анализирует поведение файлов в виртуальной среде и обнаруживает даже сложные вредоносы, такие как Trinper. Специалисты также подчеркивают важность непрерывного мониторинга событий ИБ, который можно реализовать с помощью MaxPatrol SIEM.
Поделиться