Компанія Positive Technologies оприлюднила результати ґрунтовного розслідування, яке виявило суттєві докази взаємозв’язку між відомими хакерськими угрупованнями Team46 та TaxOff. Дослідження показало, що ці групи можуть бути частинами єдиної організації, що застосовує передові технічні методи для проведення цільових кібератак.
Розслідування zero-day атаки на Chrome
Ключовим елементом розслідування став інцидент березня 2025 року, пов’язаний з експлуатацією zero-day уразливості (CVE-2025-2783) у браузері Chrome. Первинне виявлення атаки спеціалістами “Лабораторії Касперського” та подальший технічний аналіз експертів Positive Technologies дозволили встановити причетність групи TaxOff до цього інциденту.
Технічні індикатори спільності атак
Дослідження виявило численні технічні збіги в методології обох угруповань. Зокрема, використання ідентичних фішингових технік, специфічних PowerShell-скриптів та унікального завантажувача Trinper. Особливу увагу привернула схожість інфраструктури, включаючи використання доменних імен, замаскованих під легітимні сервіси.
Особливості технічної реалізації кібератак
Аналітики виявили характерні патерни в проведенні атак, включаючи специфічне використання User-Agent рядків (Edge для фішингових документів та Яндекс.Браузер для шкідливого навантаження). Важливим технічним індикатором стало застосування методів DLL hijacking, зокрема експлуатація вразливостей Яндекс.Браузера (CVE-2024-6473) та системного компонента rdpclip.exe.
Інноваційні механізми таргетування
Аналіз шкідливого програмного забезпечення виявив унікальну особливість: воно активується лише на визначених цільових системах. Це досягається завдяки залежності ключа дешифрування основного функціоналу від специфічних параметрів атакованої системи, що свідчить про високий рівень таргетування атак.
Виявлені зв’язки між Team46 та TaxOff демонструють зростаючу складність сучасних кіберзагроз та вказують на необхідність постійного вдосконалення систем захисту. Використання передових технік атак, включаючи експлуатацію zero-day вразливостей та складних механізмів доставки шкідливого коду, свідчить про високий технічний потенціал зловмисників та потребу в розробці більш ефективних методів протидії кіберзагрозам.
