Аналитики компании Proofpoint, отслеживающей киберугрозы, сообщают о значительной эскалации активности одной из наиболее заметных киберпреступных группировок, известной как TA584 (также идентифицируется как Storm-0900). На протяжении 2025 года этот актор, специализирующийся на начальном доступе, не только утроил количество ежемесячных кампаний, но и существенно модифицировал свои методы, включая внедрение новой социальной инженерии ClickFix, целенаправленную географическую локализацию атак и использование нового вредоносного ПО Tsundere Bot.
Описание
Данная активность наглядно демонстрирует, как современные финансово мотивированные угрозы адаптируются к защитным мерам, делая недостаточными статические сигнатуры и детектирование по известным индикаторам компрометации (IoC). TA584 последовательно меняет инфраструктуру, темы фишинговых писем и полезную нагрузку (payload), проводя краткосрочные, но интенсивные кампании, которые часто длятся лишь часы или дни. Такой высокий темп операций и постоянная вариативность усложняют традиционное обнаружение.
Эволюция методов социальной инженерии и доставки
В 2025 году TA584 продемонстрировал высокую изобретательность в создании убедительных предлогов для атак. Группировка активно использует компрометированные учетные записи реальных отправителей и сервисы рассылки вроде SendGrid, что повышает доверие к письмам. Темы писем варьируются от имитации деловых услуг (PayPal, OneDrive, поддельные жалобы в Better Business Bureau) до уведомлений от государственных органов здравоохранения, налоговых служб и кадровых агентств. Особенно часто мишенью становятся организации в сфере здравоохранения и государственного управления.
Для повышения правдоподобности актор даже использовал уникальную технику: включение в письмо фотографии физического почтового отправления с именем и адресом конкретного получателя. После перехода по ссылке в письме жертва попадает на целевую страницу (landing page), которая проходит несколько этапов фильтрации по геолокации и IP-адресу. С середины 2025 года TA584 перешел на использование техники социальной инженерии ClickFix. Вместо прямой загрузки файла, пользователю показывается поддельное сообщение об ошибке с инструкциями скопировать и выполнить вручную PowerShell-команду, что в итоге приводит к запуску вредоносного ПО.
Расширение географии и новый вредонос Tsundere Bot
Исторически TA584 фокусировался на организациях в Северной Америке, Великобритании и Ирландии. Однако во второй половине 2025 года группировка значительно расширила целевую географию, начав регулярные массовые атаки на Германию, а также провела ограниченные кампании против Австралии. Актор демонстрирует ротационный подход к таргетированию, меняя регионы атак и адаптируя язык и тематику писем под локальную аудиторию.
Долгое время основным финальным вредоносным ПО в цепочках TA584 был троян удаленного доступа (Remote Access Trojan, RAT) XWorm в конфигурации «P0WER». Однако в ноябре-декабре 2025 года аналитики Proofpoint впервые зафиксировали, что TA584 начал доставлять новый вредонос Tsundere Bot. Это вредоносное ПО как услуга (Malware-as-a-Service) обладает функциями бэкдора и загрузчика.
Tsundere Bot отличается сложным механизмом получения адреса своего командного центра (Command and Control, C2). Он использует вариант техники EtherHiding, подключаясь к нескольким провайдерам блокчейна Ethereum для чтения актуального C2-адреса из смарт-контракта. Это обеспечивает устойчивость инфраструктуры. Вредонос также собирает информацию о системе, может выполнять произвольный JavaScript-код и используется для разведки, эксфильтрации данных и установки дополнительных полезных нагрузок, включая программы-вымогатели.
Рекомендации по защите
Эксперты Proofpoint дают организациям несколько ключевых рекомендаций для противодействия угрозам такого класса. Прежде всего, следует ограничить использование PowerShell для обычных пользователей, разрешив его только тем, кому это необходимо по работе. Также важно применять политики контроля приложений, такие как AppLocker, чтобы блокировать запуск исполняемых файлов (например, node.exe) из нестандартных каталогов вроде AppData.
На сетевом уровне рекомендуется рассмотреть блокировку или мониторинг трафика к публичным конечным точкам (RPC) Ethereum, которые использует Tsundere Bot, а также тщательно инспектировать WebSocket-соединения - основной канал управления для этого вредоноса. Кроме того, эффективной мерой может стать отключение сочетания клавиш Windows+R для рядовых пользователей через групповые политики. Не менее важным остается регулярное обучение сотрудников навыкам кибергигиены и распознаванию фишинговых атак, особенно с использованием таких специфических методов, как ClickFix.
Группировка TA584 остается одной из самых активных и адаптивных киберпреступных угроз, чья тактика постоянно эволюционирует. Ее устойчивая активность и готовность внедрять новые инструменты, такие как Tsundere Bot, указывают на то, что атаки будут продолжаться и могут стать еще более изощренными. Организациям необходимо применять многослойный подход к безопасности, сочетающий технические меры, постоянный мониторинг и повышение осведомленности пользователей.
Индикаторы компрометации
IPv4
- 178.16.52.242
- 80.64.19.148
- 85.208.84.208
- 85.236.25.119
- 94.159.113.37
- 94.159.113.64
URLs
- http://94.159.113.37/ssd.png
SHA256
- 441c49b6338ba25519fc2cf1f5cb31ba51b0ab919c463671ab5c7f34c5ce2d30
- bbedc389af45853493c95011d9857f47241a36f7f159305b097089866502ac99
