10.02.2025,
15:25
586
F.A.C.C.T. зафиксировал масштабную фишинговую атаку группы ТА558 на компании России, Беларуси
Злоумышленники из TA558 провели атаку 27 января. Она была нацелена на российские и белорусские компании из сферы финансов, логистики, строительства, туризма и промышленности. Всего за один день злоумышленники с помощью специального софта разослали письма более чем 76 тыс. целям из 112 стран мира.
Письма от TA558 содержат вложение, загружающее и запускающее RTF-документ, который использует уязвимость CVE-2017-11882 для загрузки и запуска HTA-файла со скрытым обфусцированным VBS-сценарием. При выполнении данного сценария на устройстве жертвы запускается программа Remcos RAT — она позволяет преступникам контролировать устройство жертвы.
Группировка ТА558 активна минимум с 2018 года. В 2024 году было зафиксировано более тысячи фишинговых рассылок вредоносного ПО, направленных на предприятия, госучреждения и банки в России и Беларуси. Цель атак — кража данных и получение доступа к внутренним системам организаций. Группа использует многоэтапные фишинговые атаки и различные методы социальной инженерии.
