Новости

Positive Technologies: новая группировка TaxOff использует сложный бэкдор в атаках на российский госсектор

Специалисты департамента исследования угроз экспертного центра безопасности Positive Technologies (PT Expert Security Center) обнаружили новую APT-группировку, которая атакует организации российского государственного сектора. В зафиксированной серии инцидентов для проникновения в ИТ-инфраструктуру злоумышленники использовали фишинговые электронные письма на темы финансов и права — в связи с этим эксперты назвали группировку TaxOff. Киберпреступники применяли в атаках высокотехнологичный бэкдор, который способен оставаться незаметным даже при одновременном выполнении множества задач.

Группировка преследовала две основные цели — шпионаж и закрепление в инфраструктуре для развития дальнейших атак. Эксперты обнаружили несколько фишинговых писем, которые использовались как начальные векторы проникновения. В одном из них была ссылка на облачное хранилище с вредоносным содержимым, в другом — поддельный установщик специального ПО для госслужащих, предназначенного для заполнения различных справок. 

Взаимодействие с письмами вело к заражению сложным бэкдором — эксперты назвали его Trinper. Вредонос написан на языке C++ и имеет многопоточную архитектуру, что позволяло ему параллельно выполнять разные действия: собирать и выгружать данные, мониторить файловую систему на появление чувствительных данных, поддерживать связь с командно-контрольным сервером. В бэкдоре реализована уникальная конфигурация, которая обеспечивают гибкую настройку Trinper. Кроме того, бэкдор кэширует часто используемые данные и за счет этого быстрее выполняет операции, повышая свою производительность.

«Благодаря многопоточности и другим архитектурным особенностям Trinper дает злоумышленникам возможность получать устойчивый доступ к скомпрометированным системам и одновременно выполнять многочисленные вредоносные действия. При этом бэкдор не оказывает значительного влияния на производительность инфраструктуры, поэтому может долгое время оставаться незамеченным. Сочетание высокотехнологичного вредоноса с приманками на волнующие темы делает атаки TaxOff особенно опасными и трудными для обнаружения. Это подчеркивает необходимость регулярного повышения осведомленности сотрудников организаций об актуальных киберугрозах и построения многоуровневой защиты от сложных инцидентов».

Владислав Лунин
Владислав ЛунинСтарший специалист группы исследования сложных угроз, экспертного центра безопасности Positive Technologies

Чтобы не стать жертвами подобных атак, эксперты советуют пользователям соблюдать стандартные правила кибергигиены: внимательно читать электронные письма от любых отправителей, не открывать подозрительные вложения и не переходить по сомнительным ссылкам, даже если темы сообщений крайне актуальны. 

Компаниям специалисты рекомендуют тщательно проверять сетевой трафик, чтобы своевременно обнаруживать скрытые киберугрозы, — с этой задачей помогут продуты классов NTA и NGFW, такие как PT Network Attack Discovery и PT NGFW. Еще одна обязательная мера для построения проактивной защиты — внедрение песочницы. Например, PT Sandbox проводит анализ поведения файлов в виртуальной среде и обнаруживает даже сложные вредоносы, такие как Trinper. Защитить конечные устройства от backdoor Trinper помогут СЗИ класса EDR, например MaxPatrol EDR. Продукт позволяет обнаружить вредоносную активность, отправить уведомление в MaxPatrol SIEM и не дать злоумышленнику продолжить атаку. Эксперты также подчеркивают важность непрерывного мониторинга событий ИБ, который можно реализовать с помощью системы MaxPatrol SIEM, и актуальность управления уязвимостями, что можно организовать с помощью MaxPatrol VM. Чтобы оценить защищенность своей почты можно воспользоваться сервисом PT Knockin.

Поделиться ссылкой