Улыбайтесь, вас снимают. Группа хакеров TA886 перед взломом фотографируют свою жертву

Пост опубликован в блогах iXBT.com, его автор не имеет отношения к редакции iXBT.com

Новая хакерская группа появившаяся в сети, атакует только компании Германии и Америки, а перед взломом происходит предварительный анализ через фотографию. Группировка ТА886 с помощью специализированных программ получает доступ к компьютеру, оценивает пользователя и лишь потом принимает решение о взломе. Новая группировка была обнаружена в конце 2022 года компанией по информационной безопасности Proofpoint.


Судя по всему группировка имеет финансовые мотивы, потому как риску взлома подвергаются лишь крупные компании. А так и на жертву начинаются с рассылки вредоносных писем и вложением файлов содержащих ссылки на вредоносные макросы. Кроме того могут быть подцеплены файлы PDF содержащие ссылки на JavaScript. При этом как отмечает Proofpoint, рассылка писем осуществляется только на английском и немецком языках.

Изображение с сайта https://klike.net/2499-kartinki-vzlom-30-foto.html

После обнаружения письма, жертва случайно переходит по ссылке и автоматически запускает много потоковую атаку. Результатом которой становится запуск вредоносного программного обеспечения Screenshotter. Именно эта программа осуществляет фотографирование жертву и отправку на сервера отснятой информации. Лишь после этого хакеры оценивают нужна ли дальнейшая атака. Оценка осуществляется по внешнему виду и окружающей обстановке. Кроме того происходит мониторинг домена Active Directory и загрузка бота Rhadamanthys предназначенного для кражи информации криптокошельков, cookies файлов из браузеров, учётных записей популярных мессенджеров и соцсетей. Хакеры получают доступ к электронной почте жертвы.

Изображение с сайта https://www.securitylab.ru/news/536403.php

Активность группировки отмечена в часовых поясах UTC+2 или UCT+3, что ещё раз доказывает на кого нацелена атака.

К необычным результатам привел анализ кода загрузчика бота Rhadamanthys, и в нем были обнаружены российские следы. Комментарий были выполнены на русском языке.

Изображение с сайта https://www.securitylab.ru/news/536403.php

Принцип работы новой группировки никак не сходится с ранее обнаруженными и можно точно сказать, что компания TA866 отдельная группировка занимающаяся взломом крупных заграничных компаний.