Кибершпионы и киберпреступники: чем опасны группы TA829 и UNK_GreenSec?

APT

В последние годы мир информационной безопасности сталкивается с растущей сложностью угроз, когда границы между киберпреступностью и государственным шпионажем становятся все более размытыми. Один из ярких примеров - активность группировок TA829 и UNK_GreenSec, чьи методы и инструменты демонстрируют удивительные сходства, несмотря на различающиеся мотивы.

Описание

TA829 - это уникальная группировка, сочетающая в себе признаки как киберпреступной, так и разведывательной деятельности. С одной стороны, она использует автоматизированные фишинговые кампании и закупает услуги у криминальных поставщиков, что характерно для мошенников. С другой - ведет целевые атаки, связанные с интересами российского государства, включая шпионаж в Украине после начала полномасштабного вторжения. Группировка активно обновляет свои инструменты, включая бэкдоры SingleCamper (также известный как обновленная версия RomCom) и DustyHammock, а также применяет сложные механизмы обхода защиты, такие как редиректоры и подписанные вредоносные файлы.

Однако в феврале 2025 года исследователи Proofpoint обнаружили кампании, почти идентичные по стилю и инфраструктуре, но распространяющие принципиально новый загрузчик - TransferLoader. Эти атаки приписываются отдельной группировке, временно названной UNK_GreenSec, которая, в отличие от TA829, фокусируется исключительно на киберпреступной деятельности, включая распространение вымогателей, таких как Morpheus.

Сходства между кампаниями поразительны: обе группировки используют скомпрометированные MikroTik-роутеры для рассылки писем через бесплатные почтовые сервисы, применяют Rebrandly для редиректов, а также создают фишинговые страницы, имитирующие OneDrive и Google Drive. Однако есть и ключевые различия: UNK_GreenSec нацеливается на более широкий круг жертв, включая компании в Северной Америке, и использует более сложные методы фильтрации трафика, включая Cloudflare.

Основная интрига заключается в том, связаны ли эти группировки между собой. Возможно, они пользуются услугами одного и того же поставщика инфраструктуры. Не исключено, что UNK_GreenSec - это инфраструктурный провайдер, который обычно работает с TA829, но временно использовал свои ресурсы для собственных атак. Самый радикальный сценарий - что обе группировки являются частью одной организации, тестирующей новый инструмент TransferLoader.

Какой бы ни была истинная связь, эта история подчеркивает важность комплексного анализа угроз. Киберпреступники и шпионы все чаще заимствуют методы друг у друга, а их инфраструктура становится все более взаимосвязанной. Для компаний это означает необходимость усиления защиты, включая мониторинг подозрительных редиректов, анализ поведения конечных точек и своевременное обновление сигнатур угроз.

Индикаторы компрометации

Domains

  • 1day.live
  • 1dcloud.live
  • 1drive.bio
  • 1drive.expert
  • 1drive.pub
  • 1drive.social
  • 1drive.works
  • 1drivecloud.click
  • 1drivecloud.live
  • 1drivems.expert
  • 1drivems.works
  • 1drive-work.online
  • 1drv.biz
  • 1drv.eu.com
  • 1drv.me
  • 1drv.site
  • 1drv.world
  • 1drv.zone
  • 1drv365.live
  • 1drv365.online
  • 1drvcloud.online
  • 1drvfiles.online
  • 1drvms.space
  • 1drv-storage.pub
  • 1drv-team.works
  • 1drw.live
  • 1dv.online
  • 1dv365.live
  • 1dvstorage.com
  • 1share.limited
  • 365drv.live
  • 365msdrv.live
  • 365work.chat
  • cdngateway.us
  • cloud1dv.com
  • clouderive.com
  • cloudlive.pub
  • cloudly.live
  • cloud-pdf.online
  • consvcprivacy.com
  • d1rv.social
  • datadrv1.com
  • data-dv.live
  • deliverycitylife.com
  • diskstorage.click
  • documentapproved.click
  • dr365.live
  • drivedefend.com
  • drivehost.live
  • drivehub.live
  • drivenc.pub
  • drivepoint.pub
  • drivepublic.live
  • driveshare.pub
  • drive-share.pub
  • drivestorage.online
  • drshare.online
  • drsync.click
  • dvcloud.live
  • dvfilesync.pub
  • file-acess.live
  • file-cloud.company
  • file-share.works
  • gdl-cloud.works
  • gdrive-share.online
  • gdrvdocs.online
  • gworkspace.social
  • healthfy.bio
  • journalctl.website
  • lauradream.com
  • livestorage.click
  • mngersrv.com
  • ms.share-onedr.com
  • mspdf.live
  • my1drv.live
  • my1drv.online
  • my-356drv.online
  • my-drive365.pub
  • mydrv1.live
  • myonedrive365.live
  • ondrve.live
  • ondv.live
  • onedr.expert
  • onedrivecloud.click
  • onedrivecloud.expert
  • onedrivecloud.live
  • onedrivecloud.net
  • onedrivems.cloud
  • onedrivems.works
  • onedrweb.live
  • onefile.social
  • onelivedrv.com
  • onestorelink.live
  • onlinedrive.click
  • opendnsapi.net
  • pdfshare.click
  • pdf-share.pub
  • pdf-storage.pub
  • share-doc.live
  • sharedrive.pub
  • sharepdf.limited
  • share-pdf.live
  • site-staff.sale
  • storagedrive.pub
  • storage-hub.pub
  • supportcausems.com
  • temptransfer.live
  • workspace-doc.live

SHA1

  • 24bd135b92a95c0e7f9967f6372bbe4bc99d9f84
  • 2b301191aa9e1d2c8e3eefd38b6eb1952b1fce88
  • 5238c4815c13f9d26ad6fa46aec6cc55671cb16e
  • c8cbb1eaae2fd97fa811ece21655e2cb96510255
  • cff9e5fee264dd58dbd6a3165322807248d3a1b2
  • d890d4b40ce56f90b9ea168bf6d7bf5043a47319
  • d8b04523d86270ce8bf8a834d7da22829f1a8d16

SHA256

  • 00385cae3630694eb70e2b82d5baa6130c503126c17db3fc63376c7d28c04145
  • 07b9e353239c4c057115e8871adc3cfb42467998c6b737b28435ecc9405001c9
  • 1c6a5476d485d311be1e07c2e0d2ae322214caa5d4f84398d4169d499105b01a
  • 33971df8f5c34c3c79f64e2e28e300260499285bd37f77295ba88897728ace4b
  • 3a234b49b834849689da477f77ca6363b40ee83e58213ee51b1ec248da90a543
  • 54a94c7ec259104478b40fd0e6325d1f5364351e6ce1adfd79369d6438ed6ed9
  • 6d5226cba687d99ce14eda8de290edd470e79436625618559c8db1458a53666c
  • 7e51eb44cfd945f4a155707f773fae3207ebfb59d45ea866ba69bd9bc28dfc32
  • 7fc65b23e0a85f548e4268b77b66a3c9f3d08b9c1817c99bc1336d51d36e1ec6
  • 8f3b065e6aa6bc220867cdcb1c250c69b2d46422c51f66f25091f6cab5d043de
  • cd526475391c375e8e40f0146146672928db9bbf210acb41e0fd41381cd5eb9a
  • e7917ff12114be5c79ca9bd0082eb628192c2ebfbee7aad2ae626ea208ee37cf
  • f5f2761278163a1a813356666cb305fe37806f5f633b2a5475997f10d24fb3d4
  • fba9f2c351e898bfc61c8b1181020212ccb9e55041c4dd433ca2867dbf796469
Комментарии: 0