🥷 Хакерская группировка TA558, с 2018 года действующая в странах Латинской Америки, добралась до России Специалисты экспертного центра безопасности Positive Technologies (PT Expert Security Center) обнаружили серию атак по всему миру, проанализировав множество семплов, направленных на различные секторы и страны, а также изучив фишинговые письма, отправленные в том числе компаниям из России, Румынии и Турции. Особый «почерк» злоумышленников позволяет утверждать, что вероятнее всего эти атаки связаны с группировкой TA558. 💬 «В исследованных нами атаках группировка активно использовала технику стеганографии: файлы полезной нагрузки передавались внутри картинок. Помимо стеганографии, группировка таким же образом использовала текстовые сервисы. Интересно, что в цепочках одновременно применялись сразу оба метода для лучшей защиты от обнаружения», — отметил Александр Бадаев, специалист отдела исследования угроз ИБ. 👾 Какое вредоносное ПО использует группировка Для хранения строчек ВПО и картинок с вредоносным кодом TA558 использует легитимные сервисы. Злоумышленники применяют в атаках широко известное ПО, среди которого трояны Agent Tesla, Remcos, XWorm и LokiBot, стилер FormBook, загрузчик GuLoader, кейлоггер Snake Keylogger и другие. 💘 Операция SteganoAmor Большинство названий вредоносных файлов TA558 содержали слово love (то есть, «любовь»), поэтому эксперты назвали операцию по обнаружению атак группировки SteganoAmor. Они смогли обнаружить связи между различными элементами атаки и установить, что они относятся к одной и той же группировке. ⚡️ Какие страны и отрасли атаковали Всего в ходе исследования зафиксировано 320 атак, направленных на компании из 31 страны, а том числе США, Германии, Индии. Среди наиболее пострадавших отраслей — промышленность (21%), сфера услуг (16%), государственный сектор (16%), электроэнергетика (8%) и строительство (8%). Подробнее об атаках, инструментах ТА558 и ее особенностях читайте в исследовании на нашем сайте: https://vk.cc/cwcU27 #PositiveЭксперты