Доставки не будет, расходимся. Киберпреступники нашли способ устроить логистический коллапс, не выходя из дома

Киберпреступная группировка GrayBravo, ранее известная как TAG-150, продолжает активное развитие, демонстрируя высокий уровень технической подготовки, гибкость и способность масштабировать свою инфраструктуру. Новое исследование специалистов Recorded Future* выявило четыре независимых кластера вредоносной активности, использующих многофункциональный загрузчик CastleLoader, что подтверждает гипотезу о функционировании GrayBravo по модели вредоносного сервиса по подписке.

Один из таких кластеров, отслеживаемый как TAG-160, нацелен преимущественно на логистические компании. Злоумышленники маскируются под известных перевозчиков и действуют через фишинговые письма с поддельными документами и ссылками, созданными с применением техники ClickFix.

Жертвы получают уведомления якобы от компаний вроде England Logistics, с предложением открыть ссылку на подтверждение стоимости грузоперевозки. При переходе по ней пользователи попадают на фальшивую страницу, где им предлагается выполнить ряд действий, в результате которых на их устройство незаметно загружается и запускается вредоносное ПО. Среди загружаемых компонентов помимо CastleLoader также зафиксированы HijackLoader, Rhadamanthys и zgRAT.

Для повышения достоверности киберпреступники используют взломанные аккаунты и зарегистрированные домены, ранее принадлежавшие легальным компаниям. Они также создают поддельные профили на логистических платформах DAT Freight & Analytics и Loadlink Technologies, что позволяет им собирать контакты потенциальных жертв, формировать фишинговые сообщения на основе реальных логистических данных и даже, возможно, размещать фальшивые грузы с вредоносными ссылками.

Второй кластер, обозначенный как TAG-161, эксплуатирует узнаваемый бренд Booking.com. Кампании включают не только распространение CastleLoader, но и загрузку малвари Matanbuchus — программного обеспечения для удалённой загрузки дополнительных вредоносных компонентов. Инфраструктура этого кластера управляется непосредственно киберпреступниками и включает собственные инструменты для массовой рассылки фишинговых писем и генерации редиректов. Эти инструменты позволяют отправлять письма от скомпрометированных SMTP-серверов и направлять жертв на заражённые сайты, оформленные под сервис бронирования жилья.

Участие в таких операциях пользователей с подпольных форумов придаёт расследованию дополнительную глубину. Один из псевдонимов, «Sparja», по данным специалистов, возможно, связан с CastleLoader. Внимание привлекла панель управления вредоносным ПО, на которой вместо стандартной подписи отображалось имя Sparja. Ранее этот пользователь уже проявлял интерес к разработке загрузчиков и обсуждал возможности обхода защитных механизмов с другими фигурантами теневых сообществ. Его активность совпадает по времени с началом появления CastleLoader и может указывать на участие в разработке или распространении инструмента.

GrayBravo не ограничивается единичными кампаниями и продолжает расширять свою инфраструктуру. Загрузчик CastleLoader используется не только в фишинговых письмах, но и через поддельные обновления программ, распространяемые через фальшивые сайты, имитирующие легальные сервисы. Одна из группировок, например, имитирует загрузки администрирующего ПО Zabbix, чтобы распространять вредоносный компонент NetSupport RAT.

Несмотря на отсутствие открытых объявлений о предоставлении услуг, характер применения CastleLoader, разнообразие вторичных вредоносных модулей и наличие специализированных панелей управления говорят в пользу того, что GrayBravo работает в формате сервисной модели. Большинство инфраструктурных компонентов, включая панели и серверы управления, взаимодействуют исключительно внутри собственной сети, а доступ к ним получают ограниченное число внешних участников, предположительно партнёров или арендаторов.

Фиксация случаев заражения в США и активности в образовательных учреждениях подтверждает широкую географию жертв и гибкость атакующих стратегий. Некоторые жертвы, по всей видимости, подключались к вредоносной инфраструктуре через Wi-Fi-сети учебных заведений, что осложняет определение масштаба заражения.

На фоне роста количества участников, использующих CastleLoader, и внедрения новых вредоносных инструментов, можно ожидать дальнейшее укрепление GrayBravo в преступной среде. Команда продолжает адаптироваться, разрабатывая более изощрённые механизмы доставки, обхода защиты и управления заражёнными системами.

* Recorded Future признана нежелательной организацией в России.