Компания F.A.C.C.T., российский разработчик технологий для борьбы с киберпреступлениями, обнаружила масштабную фишинговую атаку группы ТА558. Атака, проведенная 27 января, нацелена на компании из России и Белоруссии, работающие в финансовом, логистическом, строительном, туристическом и промышленном секторах.
По данным аналитиков F.A.C.C.T., злоумышленники разослали более 76 тысяч писем с помощью специального софта за один день, охватив 112 стран. Письма содержат вложения, загружающие RTF-документ, использующий уязвимость CVE-2017-11882 чтобы внедрить на устройство жертвы HTA-файл с обфусцированным VBS-сценарием. Данный сценарий запускает программу Remcos RAT, позволяющую преступникам получить контроль над устройством.
Группа ТА558 активна как минимум с 2018 года. В 2024 году аналитики F.A.C.C.T. зафиксировали более тысячи фишинговых рассылок вредоносного программного обеспечения, направленных на предприятия, госучреждения и банки в России и Белоруссии. Целью атак становится кража данных и доступ к внутренним системам организаций.
Злоумышленники используют многоэтапные фишинговые атаки и разнообразные методы социальной инженерии. Эксперты F.A.C.C.T. подробно рассказывали о деятельности TA558 летом 2024 года, подчеркивая их высокий уровень организации и целенаправленность действий. Очевидно, что такие атаки продолжают представлять серьезную угрозу для бизнеса и государственных структур, что вызывает необходимость усиления киберзащиты в этих сферах.