Группа хакеров, специализирующаяся на первичном доступе к корпоративным сетям, проводит активную кампанию против португалоговорящих пользователей в Бразилии с января 2025 года. Согласно отчету исследователя Гильерме Венере из Cisco Talos, опубликованному в четверг, основными мишенями стали руководители C-уровня, сотрудники финансовых и HR-отделов различных организаций, включая образовательные и правительственные учреждения.

Злоумышленники используют спам-рассылки, имитирующие сообщения от финансовых учреждений, операторов сотовой связи и бразильской системы электронных счетов-фактур (NF-e). В письмах содержатся ложные уведомления о просроченных платежах или неоплаченных счетах, а также вредоносные ссылки на Dropbox, ведущие к установщикам инструментов удаленного управления (RMM).
Хакеры эксплуатируют легитимные RMM-инструменты, включая N-able RMM Remote Access, PDQ Connect и ScreenConnect, который устанавливается после первичного компромисса. Эти инструменты предоставляют атакующим возможность читать и записывать файлы на удаленных системах, а также загружать и устанавливать дополнительное программное обеспечение.
Аналитики классифицируют данную группу как брокеров первичного доступа (IAB), которые специализируются на получении несанкционированного доступа к корпоративным сетям с последующей продажей этого доступа другим киберпреступникам. Примечательно, что злоумышленники эксплуатируют бесплатные пробные периоды коммерческих RMM-инструментов, что позволяет им избежать затрат на инфраструктуру. Компания N-able уже отреагировала на инциденты, отключив затронутые пробные учетные записи.
Инструменты RMM привлекательны для киберпреступников по нескольким причинам: они имеют цифровую подпись признанных организаций, функционируют как полноценные бэкдоры и могут использоваться бесплатно в пробном режиме, что обеспечивает готовую инфраструктуру для атак.
Параллельно с этой кампанией исследователи отмечают активность и других фишинговых групп. Южноамериканская киберпреступная группа Hive0148 распространяет банковский троян Grandoreiro, нацеленный на пользователей в Мексике и Коста-Рике. Кампания GetShared использует легитимный сервис обмена файлами для обхода средств безопасности и перенаправления пользователей на вредоносные ссылки.
Другие актуальные кампании включают распространение вредоносного ПО Formbook через фишинговые письма, связанные с заказами на продажу, с эксплуатацией уязвимости Microsoft Equation Editor (CVE-2017-11882). Кампания Ratty RAT, нацеленная на пользователей в Испании, Италии и Португалии, использует темы, связанные со счетами, для доставки Java-троянов удаленного доступа, способных выполнять удаленные команды, регистрировать нажатия клавиш, делать скриншоты и похищать данные.
Фишинговая кампания Tycoon 2FA использует легитимное приложение для заметок Milanote и фишинговые наборы типа «злоумышленник в середине», маскируясь под уведомления о «новых соглашениях». Технически сложные кампании применяют закодированный JavaScript в SVG-файлах, ссылки-ловушки в PDF-вложениях, динамические фишинговые URL-адреса в файлах OneDrive и архивированные MHT-полезные нагрузки в структурах OpenXML.
Отдельного внимания заслуживает кампания, эксплуатирующая функцию туннелирования TryCloudflare для доставки вредоносного ПО AsyncRAT. По словам исследователя Intezer Юваля Гури, «атакующие постоянно развивают свои тактики для обхода средств безопасности, что делает обнаружение фишинга все более сложной задачей».

Изображение носит иллюстративный характер
Злоумышленники используют спам-рассылки, имитирующие сообщения от финансовых учреждений, операторов сотовой связи и бразильской системы электронных счетов-фактур (NF-e). В письмах содержатся ложные уведомления о просроченных платежах или неоплаченных счетах, а также вредоносные ссылки на Dropbox, ведущие к установщикам инструментов удаленного управления (RMM).
Хакеры эксплуатируют легитимные RMM-инструменты, включая N-able RMM Remote Access, PDQ Connect и ScreenConnect, который устанавливается после первичного компромисса. Эти инструменты предоставляют атакующим возможность читать и записывать файлы на удаленных системах, а также загружать и устанавливать дополнительное программное обеспечение.
Аналитики классифицируют данную группу как брокеров первичного доступа (IAB), которые специализируются на получении несанкционированного доступа к корпоративным сетям с последующей продажей этого доступа другим киберпреступникам. Примечательно, что злоумышленники эксплуатируют бесплатные пробные периоды коммерческих RMM-инструментов, что позволяет им избежать затрат на инфраструктуру. Компания N-able уже отреагировала на инциденты, отключив затронутые пробные учетные записи.
Инструменты RMM привлекательны для киберпреступников по нескольким причинам: они имеют цифровую подпись признанных организаций, функционируют как полноценные бэкдоры и могут использоваться бесплатно в пробном режиме, что обеспечивает готовую инфраструктуру для атак.
Параллельно с этой кампанией исследователи отмечают активность и других фишинговых групп. Южноамериканская киберпреступная группа Hive0148 распространяет банковский троян Grandoreiro, нацеленный на пользователей в Мексике и Коста-Рике. Кампания GetShared использует легитимный сервис обмена файлами для обхода средств безопасности и перенаправления пользователей на вредоносные ссылки.
Другие актуальные кампании включают распространение вредоносного ПО Formbook через фишинговые письма, связанные с заказами на продажу, с эксплуатацией уязвимости Microsoft Equation Editor (CVE-2017-11882). Кампания Ratty RAT, нацеленная на пользователей в Испании, Италии и Португалии, использует темы, связанные со счетами, для доставки Java-троянов удаленного доступа, способных выполнять удаленные команды, регистрировать нажатия клавиш, делать скриншоты и похищать данные.
Фишинговая кампания Tycoon 2FA использует легитимное приложение для заметок Milanote и фишинговые наборы типа «злоумышленник в середине», маскируясь под уведомления о «новых соглашениях». Технически сложные кампании применяют закодированный JavaScript в SVG-файлах, ссылки-ловушки в PDF-вложениях, динамические фишинговые URL-адреса в файлах OneDrive и архивированные MHT-полезные нагрузки в структурах OpenXML.
Отдельного внимания заслуживает кампания, эксплуатирующая функцию туннелирования TryCloudflare для доставки вредоносного ПО AsyncRAT. По словам исследователя Intezer Юваля Гури, «атакующие постоянно развивают свои тактики для обхода средств безопасности, что делает обнаружение фишинга все более сложной задачей».