Привет! На связи отдел исследования киберугроз. В марте 2025 года нас заинтересовала одна атака, в которой использовалась уязвимость нулевого дня для браузера Chrome. Мы атрибутировали инцидент к группировке TaxOff, о которой писали ранее. В процессе изучения мы обнаружили более ранние атаки, все проанализировали и пришли к выводу – TaxOff и другая найденная нами группировка Team46 являются одной и той же группой киберпреступников.

Почему мы так решили, читайте в этой статье.

Team46, ты ли это?

Атака, которая привлекла наше внимание, была совершена в середине марта 2025 года. Началась она с фишингового письма со ссылкой, при переходе на которую жертва активировала 1-click exploit (CVE-2025-2783) и устанавливала бэкдор Trinper. Именно группировка TaxOff была известна использованием данного вредоноса.

При исследовании этого кейса была обнаружена более ранняя атака, совершенная в октябре 2024 года, которая начиналась с фишингового письма по структуре и стилистике очень похожего на письмо из новой атаки.

Документ-приманка

По ссылке https://mil-by[.]info/#/i?id=[REDACTED] из письма скачивается архив с ярлыком, запускающим powershell.exe со следующей командой:

Ранее мы видели аналогичную команду в атаках Team46:

Powershell-скрипт, который скачивался после выполнения команды, и скрипт после деобфускации также похожи на скрипты из нашей статьи про атаки Team46.

Для именования документа-приманки на компьютере жертвы обе группировки применяли один и тот же паттерн (umawbfez-bkw5-f85a-3idl-3z4ql69v8it0.pdf и 399ha122-tt9d-6f14-s9li-lqw7di42c792.pdf). В обоих случаях при скачивании файла использовался User-Agent Edge, а при скачивании полезной нагрузки — User‑Agent Яндекс Браузера. Также в обоих случаях имя компьютера передавалось через параметр query.

Отличалась лишь полезная нагрузка. Если ранее атакующие для ее запуска применяли уязвимость DLL-Hijacking для Яндекс.Браузера (CVE-2024-6473) с подменой библиотеки Wldp.dll, то в данном случае использовался системный компонент rdpclip.exe, также уязвимый к DLL-Hijacking, с подменой системной библиотеки winsta.dll.

🤔 Интересно то, что библиотека winsta.dll представляет собой загрузчик бэкдора Trinper'a группировки TaxOff. Бэкдор использовал управляющий сервер common-rdp-front.global.ssl.fastly.net.

Скажете, совпадение? Мы так не думаем. В аналогичной атаке, зафиксированной в сентябре 2024 года, рассылался архив с ярлыком Ростелеком.pdf.lnk, который также запускал powershell.exe с характерной для Team46 командой:

Документ-приманка в данной атаке выглядел следующим образом:

Документ-приманка

Телефон, указанный в конце страницы, также выполнен в стиле Team46: некорректный, содержащий случайно набранный на клавиатуре набор цифр.

Полезной нагрузкой в данной атаке являлся файл AdobeARM.exe, представляющий собой загрузчик бэкдора из первой известной нам атаки Team46, описанный коллегами из Dr.Web. Ранее мы обнаружили этот бэкдор, также имеющий имя AdobeARM.exe, на одной системе с бэкдором Trinper во время одного из инцидентов.

Загрузчик Trinper’a

С полным процессом расшифровки финальной нагрузки вы можете ознакомиться в нашем исследовании на сайте. Для облегчения понимания мы также составили схему слоев шифрования, на которой видно их последовательность, а также используемые алгоритмы и ключи.

В сухом остатке получилось, что загрузчик TaxOff в основном функционально идентичен загрузчику Trojan.Siggen27.11306 Team46. Что общего:

  • использование потока для расшифровки полезной нагрузки;

  • использование UUID прошивки в качестве ключа;

  • использование ImagePathName в качестве ключа;

  • использование модифицированного алгоритма шифрования ChaCha20;

  • использование модифицированного алгоритма хеширования BLAKE2;

  • и использование загрузчика donut.

Вспомогательные инструменты

Также в ходе расследования были обнаружены самописные вспомогательные инструменты, с помощью которых злоумышленники проводили разведку в системе жертвы. Все инструменты написаны на .NET и передают полученные данные по именованному каналу:

  • dirlist.exe — для поиска файлов на системе;

  • ProcessList.exe — получение списка запущенных процессов;

  • ScreenShot.exe — снятие скриншотов.

Инфраструктура

Обе группировки использовали синтаксически похожие домены с мимикрией под легитимные сервисы с дефисами в названии:

Team46 — ms‑appdata‑fonts.global.ssl.fastly.net

TaxOff — fast‑telemetry‑api.global.ssl.fastly.net

Выводы

В результате проведенного анализа можно утверждать, что Team46 и TaxOff являются одной и той же APT-группировкой, для которой мы оставляем название Team46. Использование эксплойтов нулевого дня позволяет хакерам эффективнее проникать в защищенные инфраструктуры. Кроме того, разработка и использование сложного вредоносного ПО указывает на то, что группировка настроена играть в долгую.

Полный список индикаторов компрометации смотрите в полной версии исследования.