Хакеры ТА558 атаковали больше 100 стран

АО "Будущее" (F.A.C.C.T.) сообщило, что в конце января хакеры из группы ТА558 совершили массовую атаку на более чем 76 тыс. целей в 112 странах мира, среди которых были Российская Федерация и Республика Беларусь. Целями злоумышленников стали компании из сферы логистики, строительства, финансов, промышленности и туризма.

"Письма от TA558 содержат вложение, загружающее и запускающее RTF-документ, который использует уязвимость CVE-2017-11882 для загрузки и запуска HTA-файла со скрытым обфусцированным VBS-сценарием. При выполнении данного сценария на устройстве жертвы запускается программа Remcos RAT - она позволяет преступникам контролировать устройство жертвы", - говорится в сообщении.

Аналитик департамента киберразведки Threat Intelligence компании F.A.C.C.T. Владислав Куган рассказал, что ТА558 совершает киберпреступления с 2018 г. и ранее ее целями становились гостиничный и туристический бизнес в странах Латинской Америки. Но в 2024 г. группировка расширила географию атак и начала действовать против компаний России и СНГ.

"Мы отслеживаем активность TA558 с момента ее первоначальной активности, что позволило нам детально проанализировать эволюцию ее тактик, техник и процедур (TTPs), а также изменения в используемом программном обеспечении. Это дает нам возможность с высокой степенью уверенности идентифицировать атаки, осуществляемые данной группировкой. В 2024 г. TA558 применила уникальные на тот момент методики, которые привлекли внимание специалистов по кибербезопасности. Среди ключевых особенностей - использование стеганографии (сокрытие вредоносного кода внутри изображений) и кодирование полезной нагрузки. Кроме того, в 2025 г. группировка расширила круг целей: помимо атак на компании, зафиксированы случаи атак на физических лиц", - отметил Владислав Куган.

Руководитель отдела исследования угроз экспертного центра безопасности АО "Позитив Текнолоджиз" (Positive Technologies - PT Expert Security Center) Аскер Джамирзе отметил, что специалисты компании фиксировали атаки со стороны группировки. По его словам, они не представляли значительной опасности, потому что в них использовалось вредоносное ПО, которое эффективно обнаруживается средствами защиты информации, и известные уязвимости 2017 г.

"Стоит подчеркнуть, что киберпреступная группировка TA558 преимущественно атакует латиноамериканские страны, в то время как упомянутые атаки, по всей видимости, являются побочными и примитивными. Интересно, что TA558 использует в атаках относительно редкий криптер Crypters And Tools, который применяется несколькими другими группировками, атакующими Россию", - сказал он.

По его словам, кампания хакеров из ТА558 носит массовый характер. Она направлена на широкий круг целей, и определить точный уровень успеха затруднительно. Владислав Куган предположил, что наибольший ущерб получили компании, которые уделяют недостаточное внимание вопросам кибербезопасности и не обладают эффективными средствами защиты.

"CVE-2017-11882 - очень старая уязвимость. Она была исправлена более семи лет назад, по этой причине атаки с использованием эксплойтов под эту уязвимость не очень эффективны. Если пользователь хоть раз за последние семь лет устанавливал обновления для пакета приложений Microsoft Office, то подобные эксплойты работать не будут. Тем не менее с начала 2025 г. наши продукты задетектировали больше 17 тыс. уникальных атак с использованием уязвимости CVE-2017-11882 и уведомили об этом пользователей, подвергшихся угрозе", - отметил ведущий эксперт Kaspersky GReAT АО "Лаборатория Касперского" Борис Ларин.