Вломился через Chrome, забрал документы и скрылся до того, как антивирус успел среагировать — разбор бэкдора Trinper

В марте 2025 года специалисты Positive Technologies зафиксировали серию целенаправленных атак на российские организации с применением ранее неизвестной уязвимости в Google Chrome. За кибероперацией стояла группа TaxOff , которая использовала эксплойт CVE-2025-2783 для установки мощного бэкдора под названием Trinper. Уязвимость уже закрыта, но атака продемонстрировала, насколько опасны цепочки взлома на основе уязвимостей нулевого дня.

Начальной точкой заражения стало фишинговое письмо, замаскированное под приглашение на форум «Примаковские чтения» . Клик по ссылке в письме приводил к однокликовому запуску эксплойта, после чего на машину жертвы устанавливался троян Trinper. Аналогичная схема наблюдалась ещё в октябре 2024 года, когда вредонос распространялся через приглашения на конференцию по безопасности Союзного государства.

Trinper написан на C++ и использует многопоточность для одновременного сбора информации о системе, записи нажатий клавиш и кражи файлов определённых форматов, включая .doc, .xls, .ppt, .rtf и .pdf. Бэкдор устанавливает связь с удалённым сервером управления (C2), откуда получает команды: от запуска командной строки и создания обратного шелла до изменения каталогов и самоуничтожения. Благодаря многопоточности Trinper способен не только эффективно скрываться, но и поддерживать постоянный обмен данными с сервером, загружать дополнительные модули и выполнять сложные сценарии.

В качестве загрузчика вредоносного ПО использовались инструменты Donut и Cobalt Strike. В одном из случаев вредоносный код распространялся через ZIP-архив, содержащий ярлык Windows, запускающий PowerShell-команду, которая загружала поддельный документ и активировала установку Trinper.

По данным Positive Technologies, поведенческий анализ цепочки заражения выявил сходства с атаками другой хак-группы, известной как Team46. Более того, за месяц до мартовского инцидента были зафиксированы похожие фишинговые письма якобы от имени компании Ростелеком, в которых говорилось о технических работах. Они также содержали ZIP-файл с ярлыком, запускающим PowerShell и загружающим бэкдор.

Ещё один эпизод, описанный в сентябре 2024 года компанией Доктор Веб, связан с атакой на логистическую компанию, в которой использовалась уязвимость нулевого дня CVE-2024-6473 в Яндекс.Браузере. Вредоносный код подменял DLL-файлы в системе (DLL Hijacking), позволяя загружать и исполнять произвольное ПО. Уязвимость была устранена только в сентябре 2024 года, после выхода версии 24.7.1.380.

По мнению специалистов, TaxOff обладает устойчивыми возможностями для проведения сложных и целенаправленных атак. Использование эксплойтов нулевого дня и кастомных бэкдоров свидетельствует о стратегической нацеленности группы на долгосрочное присутствие в инфраструктуре жертв. Векторы атак, почтовые приманки и методы доставки вредоносного ПО демонстрируют высокий уровень подготовки и ориентированность на специфические цели — от госструктур до промышленности.