В начале 2024 года в процессе изучения массовых вредоносных рассылок специалисты F.A.C.C.T. Threat Intelligence выделили несколько схожих атак и выдвинули предположение, что все они связаны с одним и тем же атакующим.
Злоумышленник был назван Narketing163 по одному из наиболее часто используемых им электронных адресов – narketing163@gmail[.]com, который встречался во множестве писем в качестве обратного электронного адреса.
По данным исследователей F.A.C.C.T., Narketing163 проводит фишинговые атаки на российские компании как минимум с 14 июля 2023 года и по состоянию на сентябрь 2024 года было обнаружено более 500 вредоносных писем от атакующего.
Тематика текстов писем обычно связана с коммерческими предложениями на услуги и товары, сроками поставки, обработкой заказов и их оплатой и адресованы компаниям из различных сфер деятельности: e-commerce, ритейла, химической промышленности, строительства, медицины, страхования и пищевой промышленности.
Кроме россиян, Narketing163 атакует пользователей из разных стран, в числе которых: Беларусь, Казахстан, Азербайджан, Армения, Болгария, Украина, Турция, США, Германия, Испания, Индия, Румыния, Великобритания, Сингапур, Марокко, Литва, Норвегия, Шри-Ланка, Люксембург, Мексика. Злоумышленник рассылал письма на русском, азербайджанском, турецком и английском языках.
![Письмо с обратным электронным адресом narketing163@gmail[.]com на русском языке](https://habrastorage.org/getpro/habr/upload_files/e6c/254/4ee/e6c2544eec2f2802c271a5280c9827d7.png "Письмо с обратным электронным адресом narketing163@gmail[.]com на русском языке")
Обычно Narketing163 рассылал письма от лица электронных адресов с доменами верхнего уровня tr, az, com, kz, pe, info, net с целью имитации активности от существующих компаний. В отправляемых письмах он оставлял обратные электронные адреса, которые, предположительно, зарегистрировал сам:
narketing163@gmail[.]com
tender12@mail[.]com
verconas@mail[.]com
kubrayesti@gmail[.]com
В рассылках злоумышленника постоянно менялись IP-адреса отправителя писем. Вероятно, он использовал средства анонимизации по типу VPN и прокси-серверов.
![Письмо с обратным электронным адресом narketing163@gmail[.]com на турецком языке](https://habrastorage.org/getpro/habr/upload_files/304/13b/1cb/30413b1cb022f34e9ec99f6d2e6026d1.png "Письмо с обратным электронным адресом narketing163@gmail[.]com на турецком языке")
В ходе своих атак злоумышленник распространял вредоносные программы, которые были атрибутированы решением F.A.C.C.T. Managed XDR к следующим семействам ВПО: RedLine Stealer, Agent Tesla, FormBook (FormBookFormgrabber), Snake Keylogger.
В новом блоге эксперт F.A.C.C.T. разбирает атаки Narketing163, рассказывает о его тактиках и техниках, делится рекомендациями и индикаторами компрометации.
