Специалисты компании Positive Technologies провели масштабное расследование, которое выявило существенные доказательства связи между известными хакерскими группировками Team46 и TaxOff. Анализ их деятельности указывает на то, что эти группы могут быть единой организацией, использующей сложные технические приёмы для проведения целевых атак.
Расследование атаки с использованием уязвимости Chrome
Отправной точкой исследования стал инцидент марта 2025 года, когда злоумышленники эксплуатировали уязвимость нулевого дня (CVE-2025-2783) в браузере Chrome. Первоначально обнаруженная специалистами «Лаборатории Касперского», эта атака была впоследствии атрибутирована группировке TaxOff экспертами Positive Technologies на основе детального анализа технических индикаторов.
Общие характеристики атак
В ходе исследования были выявлены многочисленные совпадения в методах работы обеих группировок. Среди них: использование идентичных фишинговых техник, применение PowerShell-скриптов и специализированного загрузчика Trinper. Особое внимание привлекло сходство в используемой инфраструктуре, включая доменные имена, маскирующиеся под легитимные сервисы.
Техническая специфика атак
Исследователи обнаружили характерные особенности в проведении атак: использование специфических User-Agent строк (Edge для загрузки документов-приманок и Яндекс.Браузер для вредоносной нагрузки), а также передача имени компьютера через параметр query. Значительным техническим индикатором стало применение различных методов DLL hijacking, включая эксплуатацию уязвимостей в Яндекс.Браузере (CVE-2024-6473) и системном компоненте rdpclip.exe.
Особенности вредоносного ПО
Анализ выявил уникальную особенность используемого вредоносного программного обеспечения: его успешный запуск возможен только на определённых целевых компьютерах. Это обусловлено зависимостью ключа расшифровки основного функционала от специфических параметров атакуемой системы, что указывает на высокую степень таргетированности атак.
Обнаруженные связи между Team46 и TaxOff демонстрируют растущую сложность современных киберугроз. Использование продвинутых техник, включая эксплуатацию уязвимостей нулевого дня и сложных механизмов доставки вредоносного ПО, указывает на высокий уровень технической подготовки злоумышленников и необходимость постоянного совершенствования методов киберзащиты.
