Positive Technologies: новая группировка TaxOff использует сложный бэкдор в атаках на российский госсектор

Специалисты департамента исследования угроз экспертного центра безопасности Positive Technologies (PT Expert Security Center) обнаружили новую APT-группировку, которая атакует организации российского государственного сектора. В зафиксированной серии инцидентов для проникновения в ИТ-инфраструктуру злоумышленники использовали фишинговые электронные письма на темы финансов и права — в связи с этим эксперты назвали группировку TaxOff. Киберпреступники применяли в атаках высокотехнологичный бэкдор, который способен оставаться незаметным даже при одновременном выполнении множества задач.

Группировка преследовала две основные цели — шпионаж и закрепление в инфраструктуре для развития дальнейших атак. Эксперты обнаружили несколько фишинговых писем, которые использовались как начальные векторы проникновения. В одном из них была ссылка на облачное хранилище с вредоносным содержимым, в другом — поддельный установщик специального ПО для госслужащих, предназначенного для заполнения различных справок. 

Взаимодействие с письмами вело к заражению сложным бэкдором — эксперты назвали его Trinper. Вредонос написан на языке C++ и имеет многопоточную архитектуру, что позволяло ему параллельно выполнять разные действия: собирать и выгружать данные, мониторить файловую систему на появление чувствительных данных, поддерживать связь с командно-контрольным сервером. В бэкдоре реализована уникальная конфигурация, которая обеспечивают гибкую настройку Trinper. Кроме того, бэкдор кэширует часто используемые данные и за счет этого быстрее выполняет операции, повышая свою производительность.

Чтобы не стать жертвами подобных атак, эксперты советуют пользователям соблюдать стандартные правила кибергигиены: внимательно читать электронные письма от любых отправителей, не открывать подозрительные вложения и не переходить по сомнительным ссылкам, даже если темы сообщений крайне актуальны. 

Компаниям специалисты рекомендуют тщательно проверять сетевой трафик, чтобы своевременно обнаруживать скрытые киберугрозы, — с этой задачей помогут продуты классов NTA и NGFW, такие как PT Network Attack Discovery и PT NGFW. Еще одна обязательная мера для построения проактивной защиты — внедрение песочницы. Например, PT Sandbox проводит анализ поведения файлов в виртуальной среде и обнаруживает даже сложные вредоносы, такие как Trinper. Защитить конечные устройства от backdoor Trinper помогут СЗИ класса EDR, например MaxPatrol EDR. Продукт позволяет обнаружить вредоносную активность, отправить уведомление в MaxPatrol SIEM и не дать злоумышленнику продолжить атаку. Эксперты также подчеркивают важность непрерывного мониторинга событий ИБ, который можно реализовать с помощью системы MaxPatrol SIEM, и актуальность управления уязвимостями, что можно организовать с помощью MaxPatrol VM. Чтобы оценить защищенность своей почты можно воспользоваться сервисом PT Knockin.