Группировка TA558 разослала 76 000 фишинговых писем за один день

Екатерина Быстрова 10 Февраля 2025 - 13:31

Малый и средний бизнес

Таргетированные атаки

...

Группировка TA558 разослала 76 000 фишинговых писем за один день

Новая крупномасштабная фишинговая атака, организованная группировкой TA558, прошла 27 января и затронула российские и белорусские компании, работающие в сферах финансов, логистики, строительства, туризма и промышленности.

По данным аналитиков F.A.C.C.T., за один день злоумышленники с помощью специализированного программного обеспечения разослали фишинговые письма более чем 76 000 адресатам в 112 странах.

Письма содержали вложение, при открытии которого загружался и запускался RTF-документ, использующий уязвимость CVE-2017-11882. Этот документ загружал и активировал HTA-файл с обфусцированным VBS-сценарием, который, в свою очередь, устанавливал программу удаленного доступа Remcos RAT.

Данный софт позволяет злоумышленникам полностью контролировать устройство жертвы.

Группировка TA558 действует как минимум с 2018 года. В 2024 году аналитики F.A.C.C.T. Threat Intelligence зафиксировали более тысячи фишинговых кампаний, направленных на предприятия, госучреждения и банки в России и Беларуси.

Основная цель атак — кража данных и получение доступа к внутренним системам организаций. TA558 применяет многоэтапные схемы фишинга и активно использует методы социальной инженерии.

Весной 2024 года мы писали о волне атак TA558, в которых вредоносный код прятался в графическом изображении (стеганография). Кампанию назвали SteganoAmor.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 11 Февраля 2025 - 09:16

iOS Эксплойты Уязвимости программ Домашние пользователи Корпорации Apple

Apple устранила в iPhone уязвимость обхода USB Restricted Mode

Apple выпустила минорные обновления операционных систем iOS и iPadOS, в которых содержится патч для опасной уязвимости. Брешь уже используется в реальных кибератаках, поэтому пользователям рекомендуют не тянуть с установкой апдейтов.

Уязвимость, получившую идентификатор CVE-2025-24200, признали проблемой аутентификации, из-за которой злоумышленник может отключить режим ограниченного доступа к USB-устройствам (USB Restricted Mode).

Напомним, USB Restricted Mode впервые появился в iOS 11.4.1, а его задача — ограничивать взаимодействие с подключённым аксессуаром, если смартфон заблокирован или не обменивался данными с USB-девайсом более четырёх часов.

Изначально USB Restricted Mode должна была препятствовать работе инструментов для форензики — Cellebrite и GrayKey. Как правило, такие тулзы используются правоохранительными органами для доступа к мобильным устройствам подозреваемых и преступников.

Для успешной эксплуатации CVE-2025-24200 злоумышленнику потребуется физический доступ к смартфону или планшету. Подробности атак с использованием CVE-2025-24200 пока не раскрываются, известно только одно: речь идёт о сложных целевых кибератаках.

Пользователям рекомендуют установить свежие iOS 18.3.1 и iPadOS 18.3.1. Для более стареньких устройств купертиновцы выпустили iPadOS 17.7.5.