Новая кибергруппировка TaxOff атакует российские госструктуры

Яков Шпунт 28 Ноября 2024 - 18:24

Корпорации

Государство

Positive Technologies

Бэкдоры

Кибершпионаж

Целевые атаки

Таргетированные атаки

...

Новая кибергруппировка TaxOff атакует российские госструктуры

Специалисты TI-департамента экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC) обнаружили серию атак, направленных на государственные структуры России. Основной целью киберпреступников был шпионаж и закрепление в системе для дальнейших атак.

Группировка получила название TaxOff из-за использования в качестве приманок писем правовой и финансовой тематики. Основным инструментом группировки был бэкдор, получивший название Trinper.

Начальным вектором заражения являются фишинговые письма с вредоносным содержимым. В некоторых случаях для хранения использовался «Яндекс Диск», в других — зловред маскировался под инсталлятор ПО для госслужащих, предназначенного для заполнения деклараций о доходах и расходах, которые необходимо подавать каждый год. Эти приложения меняются каждый год, чем и пользуются злоумышленники.

Однако в обоих случаях в систему попадает бэкдор Trinper, который позволяет злоумышленникам устанавливать устойчивый доступ к скомпрометированным системам, эффективно управлять несколькими задачами одновременно и выполнять различные вредоносные действия без значительного влияния на производительность системы.

Многопоточность позволяет зловреду оставаться скрытым и эффективным, собирая данные, устанавливая дополнительные модули и поддерживая связи с управляющим центром (C2). Бэкдор также ведет постоянный мониторинг файловой системы на предмет появления новых данных. Зловред также кеширует активно используемые данные, что повышает его быстродействие и затрудняет деградацию производительности.

Такое сочетание эксплуатации актуальных тем и сложного многопоточного бэкдора делает атаки группировки TaxOff особенно опасными и трудными для обнаружения и предотвращения. Это подчеркивает необходимость постоянного повышения осведомленности пользователей о киберугрозах и внедрения многоуровневых мер безопасности для защиты от сложных атак.

«Благодаря многопоточности и другим архитектурным особенностям Trinper дает злоумышленникам возможность получать устойчивый доступ к скомпрометированным системам и одновременно выполнять многочисленные вредоносные действия. При этом бэкдор не оказывает значительного влияния на производительность инфраструктуры, поэтому может долгое время оставаться незамеченным, — комментирует Владислав Лунин, старший специалист группы исследования сложных угроз, экспертного центра безопасности Positive Technologies. — Сочетание высокотехнологичного вредоноса с приманками на волнующие темы делает атаки TaxOff особенно опасными и трудными для обнаружения. Это подчеркивает необходимость регулярного повышения осведомленности сотрудников организаций об актуальных киберугрозах и построения многоуровневой защиты от сложных инцидентов».

Следующая главная новость »

Защита данных от утечек: что сегодня реально работает?
Регистрируйтесь на эфир!

Екатерина Быстрова 11 Марта 2026 - 10:14

Android Трояны Домашние пользователи F6

Falcon атакует Android в России: троян научился удалять антивирусы

Специалисты компании F6 зафиксировали новую волну атак на клиентов российских банков с использованием свежей версии Android-трояна Falcon. По данным исследователей, к концу февраля 2026 года в России насчитывалось уже более 10 тыс. заражённых смартфонов, а всего за две недели их число выросло на 33%.

F6 впервые сообщала о новой волне этих атак ещё в ноябре 2025 года, а затем подробно описала развитие кампании в феврале 2026-го. Сам Falcon — не новичок. Это Android-зловред, впервые обнаруженный ещё в 2021 году, причём он основан на банковском трояне Anubis.

Но версия образца 2026 года стала заметно опаснее: теперь это уже не просто инструмент для кражи логинов, паролей и кодов двухфакторной аутентификации, а почти универсальная «отмычка» к аккаунтам пользователя в мобильных сервисах.

Новый образец способен воровать данные более чем из 30 популярных приложений и получил модуль VNC для удалённого управления устройством.

Интересно также, что Falcon научился удалять антивирусы сразу после установки. А если пользователь всё-таки попробует зайти в список приложений и удалить троян вручную, зловред может просто перебрасывать человека на главный экран. То есть наличие защитного приложения на Android здесь уже не выглядит гарантией спокойствия.

Схема заражения у трояна довольно знакомая, но от этого не менее опасная. Злоумышленники распространяют APK-файлы через фишинговые сайты, которые маскируются под государственные сервисы, банки и мессенджеры. Пользователю предлагают установить якобы полезное приложение, а затем — ещё и «обновление» с тем же названием.

Именно под видом такого обновления на смартфон и попадает FalconRAT. После запуска троян просит доступ к Accessibility Services, а дальше уже сам быстро раздаёт себе нужные разрешения. Для пользователя это может выглядеть как хаотичное открытие и закрытие окон в течение нескольких секунд, что легко принять за обычный сбой.

Главная цель трояна — данные. Когда пользователь открывает одно из целевых приложений, Falcon может подменять изображение на экране и показывать фальшивую веб-страницу, стилизованную под конкретный сервис. Если человек вводит туда логин, пароль и код 2FA, всё это тут же уходит злоумышленникам. В F6 отмечают, что троян нацелен не только на банковские приложения, но и на госсервисы, маркетплейсы, соцсети, мессенджеры, сервисы такси, бронирования, облачные платформы, магазины приложений, YouTube и даже VPN.

Любопытная деталь из анализа кода: разработчики Falcon, по данным F6, избегают атак на пользователей из США и Австралии. Если троян запускается на устройстве из этих стран, он прекращает работу. Это не редкость для некоторых семейств зловредов, но всё равно выглядит показательно.

Защита данных от утечек: что сегодня реально работает?
Регистрируйтесь на эфир!