Выбирай : Покупай : Используй
0

Positive Technologies выявила связь между группировками Team46 и TaxOff

Специалисты департамента Threat Intelligence экспертного центра безопасности Positive Technologies (PT ESC TI) установили, что ранее...

Специалисты департамента Threat Intelligence экспертного центра безопасности Positive Technologies (PT ESC TI) установили, что ранее известные группировки Team46 и TaxOff, вероятно, являются одной и той же группой киберпреступников. Исследование показало совпадения в их инструментах, инфраструктуре и тактиках атак, включая использование уязвимости нулевого дня. Об этом CNews сообщили представители Positive Technologies.

Исследование началось с изучения атаки марта 2025 г., в которой злоумышленники использовали уязвимость нулевого дня CVE-2025-2783 в браузере Chrome. Эксперты PT ESC TI отнесли ее к группировке TaxOff.

Дальнейший анализ показал ряд совпадений с атаками, приписываемыми группировке Team46. В частности, были выявлены схожие тактики, техники и процедуры (включая использование фишинговых писем и PowerShell-скриптов), инструменты (в том числе загрузчик Trinper), а также инфраструктура (включая доменные имена, мимикрирующие под легитимные сервисы).

«Наши исследования показывают, что Team46 и TaxOff с высокой вероятностью являются одной и той же группировкой, — сказал ведущий специалист группы исследования сложных угроз PT ESC TI Станислав Пыжов. — Исследованное нами вредоносное программное обеспечение успешно запустится только на определенных компьютерах т.к. ключ расшифрования основного функционала зависит от параметров компьютера, на котором он запускается. Это может говорить о направленности атак на конкретных лиц. А использование эксплойтов нулевого дня позволяет хакерам эффективно проникать в защищенные инфраструктуры».

Группировка Team46 была ранее замечена в атаках, использующих уязвимость DLL hijacking в Яндекс.Браузере (CVE-2024-6473). Группировка TaxOff известна использованием бэкдора Trinper.

Для обнаружения активности, связанной с этой группировкой, эксперты Positive Technologies рекомендуют тщательно проверять сетевой трафик — с этой задачей поможет PT Network Attack Discovery. Еще одна обязательная мера для построения проактивной защиты — внедрение песочницы, например PT Sandbox. Она анализирует поведение файлов в виртуальной среде и обнаруживает даже сложные вредоносы, такие как Trinper. Специалисты также подчеркивают важность непрерывного мониторинга событий ИБ, который можно реализовать с помощью MaxPatrol SIEM.

Комментарии