Positive Technologies обнаружила связь группировок Aggah, Blind Eagle и TA558

Изучая вредоносный сервис Crypters And Tools, специалисты департамента Threat Intelligence экспертного центра безопасности Positive Technologies (PT ESC TI) пришли к выводу, что кибергруппировки Aggah, Blind Eagle и TA558 могут быть связаны между собой. Кроме того, согласно исследованию, группировка Aggah продолжает проводить атаки, несмотря на то что некоторые эксперты считают 2022 последним годом ее активности.

Ранее исследователи Positive Technologies выяснили, что хакеры использовали Crypters And Tools для маскировки вредоносного ПО, а доступ к сервису предоставлялся по подписке (crypter as a service, CaaS). В результате анализа специалисты PT ESC TI определили, что в своих атаках вредоносный инструмент применяли как минимум шесть известных группировок, среди которых Aggah, Blind Eagle и TA558. Изучив атаки, в которых использовался Crypters And Tools, эксперты смогли установить конкретных пользователей криптора, связанных с группировками TA558 и Blind Eagle.

Так, в некоторых кампаниях Aggah и TA558 с 2018 по 2024 г. эксперты PT ESC TI заметили сходства в географии атак, в применении вредоносных программ и зараженных документов (метаданные, макросы). Кроме того, группировки использовали одну и ту же аббревиатуру — C.D.T. Пересечения с действиями вышеописанных группировок были зафиксированы и в активности Blind Eagle. К примеру, все три группы атаковали страны Латинской Америки, а также использовали общую инфраструктуру Crypters And Tools и набор ВПО (Remcos RAT, AsyncRAT, NjRAT, LimeRAT).

«Многие исследователи принимали особенности Crypters And Tools за что-то уникальное и приписывали их конкретным атакующим. Это создавало между группировками связи, которые мы считаем ошибочными: криптор — отдельная сущность, а не уникальный инструмент какой-либо группы хакеров. К примеру, исследователи из Qi An Xin предполагали, основываясь на различных пересечениях, что Aggah может быть подгруппой Blind Eagle. Мы не исключаем эту возможность, но объясняем сходства использованием Crypters And Tools. К тому же при более детальном анализе отличия группировок друг от друга становятся заметнее», — отметил специалист группы киберразведки TI-департамента экспертного центра безопасности Positive Technologies Александр Бадаев.

Все три группы продолжают проводить атаки, в том числе Aggah, которая не упоминалась с 2022 г. TA558 и Blind Eagle до сих пор применяют Crypters And Tools, в то время как Aggah прекратила его использовать (или атаки с ним находятся вне зоны наблюдения PT ESC TI).

Эксперты Positive Technologies фиксируют рост популярности готового вредоносного ПО, такого как Crypters And Tools, среди злоумышленников. Для противодействия подобным угрозам организациям следует использовать современные средства анализа сетевого трафика, защиты конечных точек и обучать сотрудников распознавать попытки атак, основанные на социальной инженерии.