В последние годы мир информационной безопасности сталкивается с растущей сложностью угроз, когда границы между киберпреступностью и государственным шпионажем становятся все более размытыми. Один из ярких примеров - активность группировок TA829 и UNK_GreenSec, чьи методы и инструменты демонстрируют удивительные сходства, несмотря на различающиеся мотивы.
Описание
TA829 - это уникальная группировка, сочетающая в себе признаки как киберпреступной, так и разведывательной деятельности. С одной стороны, она использует автоматизированные фишинговые кампании и закупает услуги у криминальных поставщиков, что характерно для мошенников. С другой - ведет целевые атаки, связанные с интересами российского государства, включая шпионаж в Украине после начала полномасштабного вторжения. Группировка активно обновляет свои инструменты, включая бэкдоры SingleCamper (также известный как обновленная версия RomCom) и DustyHammock, а также применяет сложные механизмы обхода защиты, такие как редиректоры и подписанные вредоносные файлы.
Однако в феврале 2025 года исследователи Proofpoint обнаружили кампании, почти идентичные по стилю и инфраструктуре, но распространяющие принципиально новый загрузчик - TransferLoader. Эти атаки приписываются отдельной группировке, временно названной UNK_GreenSec, которая, в отличие от TA829, фокусируется исключительно на киберпреступной деятельности, включая распространение вымогателей, таких как Morpheus.
Сходства между кампаниями поразительны: обе группировки используют скомпрометированные MikroTik-роутеры для рассылки писем через бесплатные почтовые сервисы, применяют Rebrandly для редиректов, а также создают фишинговые страницы, имитирующие OneDrive и Google Drive. Однако есть и ключевые различия: UNK_GreenSec нацеливается на более широкий круг жертв, включая компании в Северной Америке, и использует более сложные методы фильтрации трафика, включая Cloudflare.
Основная интрига заключается в том, связаны ли эти группировки между собой. Возможно, они пользуются услугами одного и того же поставщика инфраструктуры. Не исключено, что UNK_GreenSec - это инфраструктурный провайдер, который обычно работает с TA829, но временно использовал свои ресурсы для собственных атак. Самый радикальный сценарий - что обе группировки являются частью одной организации, тестирующей новый инструмент TransferLoader.
Какой бы ни была истинная связь, эта история подчеркивает важность комплексного анализа угроз. Киберпреступники и шпионы все чаще заимствуют методы друг у друга, а их инфраструктура становится все более взаимосвязанной. Для компаний это означает необходимость усиления защиты, включая мониторинг подозрительных редиректов, анализ поведения конечных точек и своевременное обновление сигнатур угроз.
Индикаторы компрометации
Domains
- 1day.live
- 1dcloud.live
- 1drive.bio
- 1drive.expert
- 1drive.pub
- 1drive.social
- 1drive.works
- 1drivecloud.click
- 1drivecloud.live
- 1drivems.expert
- 1drivems.works
- 1drive-work.online
- 1drv.biz
- 1drv.eu.com
- 1drv.me
- 1drv.site
- 1drv.world
- 1drv.zone
- 1drv365.live
- 1drv365.online
- 1drvcloud.online
- 1drvfiles.online
- 1drvms.space
- 1drv-storage.pub
- 1drv-team.works
- 1drw.live
- 1dv.online
- 1dv365.live
- 1dvstorage.com
- 1share.limited
- 365drv.live
- 365msdrv.live
- 365work.chat
- cdngateway.us
- cloud1dv.com
- clouderive.com
- cloudlive.pub
- cloudly.live
- cloud-pdf.online
- consvcprivacy.com
- d1rv.social
- datadrv1.com
- data-dv.live
- deliverycitylife.com
- diskstorage.click
- documentapproved.click
- dr365.live
- drivedefend.com
- drivehost.live
- drivehub.live
- drivenc.pub
- drivepoint.pub
- drivepublic.live
- driveshare.pub
- drive-share.pub
- drivestorage.online
- drshare.online
- drsync.click
- dvcloud.live
- dvfilesync.pub
- file-acess.live
- file-cloud.company
- file-share.works
- gdl-cloud.works
- gdrive-share.online
- gdrvdocs.online
- gworkspace.social
- healthfy.bio
- journalctl.website
- lauradream.com
- livestorage.click
- mngersrv.com
- ms.share-onedr.com
- mspdf.live
- my1drv.live
- my1drv.online
- my-356drv.online
- my-drive365.pub
- mydrv1.live
- myonedrive365.live
- ondrve.live
- ondv.live
- onedr.expert
- onedrivecloud.click
- onedrivecloud.expert
- onedrivecloud.live
- onedrivecloud.net
- onedrivems.cloud
- onedrivems.works
- onedrweb.live
- onefile.social
- onelivedrv.com
- onestorelink.live
- onlinedrive.click
- opendnsapi.net
- pdfshare.click
- pdf-share.pub
- pdf-storage.pub
- share-doc.live
- sharedrive.pub
- sharepdf.limited
- share-pdf.live
- site-staff.sale
- storagedrive.pub
- storage-hub.pub
- supportcausems.com
- temptransfer.live
- workspace-doc.live
SHA1
- 24bd135b92a95c0e7f9967f6372bbe4bc99d9f84
- 2b301191aa9e1d2c8e3eefd38b6eb1952b1fce88
- 5238c4815c13f9d26ad6fa46aec6cc55671cb16e
- c8cbb1eaae2fd97fa811ece21655e2cb96510255
- cff9e5fee264dd58dbd6a3165322807248d3a1b2
- d890d4b40ce56f90b9ea168bf6d7bf5043a47319
- d8b04523d86270ce8bf8a834d7da22829f1a8d16
SHA256
- 00385cae3630694eb70e2b82d5baa6130c503126c17db3fc63376c7d28c04145
- 07b9e353239c4c057115e8871adc3cfb42467998c6b737b28435ecc9405001c9
- 1c6a5476d485d311be1e07c2e0d2ae322214caa5d4f84398d4169d499105b01a
- 33971df8f5c34c3c79f64e2e28e300260499285bd37f77295ba88897728ace4b
- 3a234b49b834849689da477f77ca6363b40ee83e58213ee51b1ec248da90a543
- 54a94c7ec259104478b40fd0e6325d1f5364351e6ce1adfd79369d6438ed6ed9
- 6d5226cba687d99ce14eda8de290edd470e79436625618559c8db1458a53666c
- 7e51eb44cfd945f4a155707f773fae3207ebfb59d45ea866ba69bd9bc28dfc32
- 7fc65b23e0a85f548e4268b77b66a3c9f3d08b9c1817c99bc1336d51d36e1ec6
- 8f3b065e6aa6bc220867cdcb1c250c69b2d46422c51f66f25091f6cab5d043de
- cd526475391c375e8e40f0146146672928db9bbf210acb41e0fd41381cd5eb9a
- e7917ff12114be5c79ca9bd0082eb628192c2ebfbee7aad2ae626ea208ee37cf
- f5f2761278163a1a813356666cb305fe37806f5f633b2a5475997f10d24fb3d4
- fba9f2c351e898bfc61c8b1181020212ccb9e55041c4dd433ca2867dbf796469