Хакеры используют одно и то же вредоносное ПО, а также схожие техники атак
Изучая вредоносный сервис Crypters And Tools, специалисты департамента Threat Intelligence экспертного центра безопасности Positive Technologies (PT ESC TI) пришли к выводу, что кибергруппировки Aggah, Blind Eagle и TA558 могут быть связаны между собой. Кроме того, согласно исследованию, группировка Aggah продолжает проводить атаки, несмотря на то что некоторые эксперты считают 2022-й последним годом ее активности.
Ранее исследователи Positive Technologies выяснили, что хакеры использовали Crypters And Tools для маскировки вредоносного ПО, а доступ к сервису предоставлялся по подписке (crypter as a service, CaaS). В результате анализа специалисты PT ESC TI определили, что в своих атаках вредоносный инструмент применяли как минимум шесть известных группировок, среди которых Aggah, Blind Eagle и TA558. Изучив атаки, в которых использовался Crypters And Tools, эксперты смогли установить конкретных пользователей криптора, связанных с группировками TA558 и Blind Eagle.
Так, в некоторых кампаниях Aggah и TA558 с 2018 по 2024 год эксперты PT ESC TI заметили сходства в географии атак, в применении вредоносных программ и зараженных документов (метаданные, макросы). Кроме того, группировки использовали одну и ту же аббревиатуру — C.D.T. Пересечения с действиями вышеописанных группировок были зафиксированы и в активности Blind Eagle. К примеру, все три группы атаковали страны Латинской Америки, а также использовали общую инфраструктуру Crypters And Tools и набор ВПО (Remcos RAT, AsyncRAT, NjRAT, LimeRAT).
