Улыбайтесь, вас снимают. Группа хакеров TA886 перед взломом фотографируют свою жертву
Новая хакерская группа появившаяся в сети, атакует только компании Германии и Америки, а перед взломом происходит предварительный анализ через фотографию. Группировка ТА886 с помощью специализированных программ получает доступ к компьютеру, оценивает пользователя и лишь потом принимает решение о взломе. Новая группировка была обнаружена в конце 2022 года компанией по информационной безопасности Proofpoint.
Судя по всему группировка имеет финансовые мотивы, потому как риску взлома подвергаются лишь крупные компании. А так и на жертву начинаются с рассылки вредоносных писем и вложением файлов содержащих ссылки на вредоносные макросы. Кроме того могут быть подцеплены файлы PDF содержащие ссылки на JavaScript. При этом как отмечает Proofpoint, рассылка писем осуществляется только на английском и немецком языках.
![](https://img.ixbt.site/live/images/original/05/59/16/2023/02/12/dc4133c038.jpg?w=877)
После обнаружения письма, жертва случайно переходит по ссылке и автоматически запускает много потоковую атаку. Результатом которой становится запуск вредоносного программного обеспечения Screenshotter. Именно эта программа осуществляет фотографирование жертву и отправку на сервера отснятой информации. Лишь после этого хакеры оценивают нужна ли дальнейшая атака. Оценка осуществляется по внешнему виду и окружающей обстановке. Кроме того происходит мониторинг домена Active Directory и загрузка бота Rhadamanthys предназначенного для кражи информации криптокошельков, cookies файлов из браузеров, учётных записей популярных мессенджеров и соцсетей. Хакеры получают доступ к электронной почте жертвы.
![](https://img.ixbt.site/live/images/original/05/59/16/2023/02/12/ca48b85620.png?w=877)
Активность группировки отмечена в часовых поясах UTC+2 или UCT+3, что ещё раз доказывает на кого нацелена атака.
К необычным результатам привел анализ кода загрузчика бота Rhadamanthys, и в нем были обнаружены российские следы. Комментарий были выполнены на русском языке.
![](https://img.ixbt.site/live/images/original/05/59/16/2023/02/12/95dceb5741.png?w=877)
Принцип работы новой группировки никак не сходится с ранее обнаруженными и можно точно сказать, что компания TA866 отдельная группировка занимающаяся взломом крупных заграничных компаний.
Источник: https://www.securitylab.ru
4 комментария
Добавить комментарий
Возможно, но бывает что пишется целой командой а потом переписывается
Если эта хреновина сработала на компе, то жертву фотографировать не надо — и так всё понятно.
Добавить комментарий