В последние годы киберугрозы приобретают всё более сложный и многогранный характер, что заставляет специалистов по информационной безопасности тщательно изучать тактики и методы злоумышленников. Одними из наиболее интересных объектов анализа стали группы TA829 и UNK_GreenSec, которые подозреваются в использовании схожей инфраструктуры и тактик в своих кампаниях по распространению вредоносного программного обеспечения. Их деятельность ставит под угрозу как корпоративные, так и государственные структуры по всему миру. TA829 — это группа, которая завоевала репутацию универсального игрока на киберпреступной арене. Обладая возможностями для проведения как кибершпионажа, так и финансово мотивированных атак, она представляет собой гибрид, сочетающий в себе характерные признаки государственных и преступных структур.
Эта группа тесно связана с Россией и активно эксплуатирует уязвимости нулевого дня в популярных продуктах, таких как браузер Mozilla Firefox и операционная система Microsoft Windows. Рост числа атак с использованием её инструментов сигнализирует о высокой технической оснащённости и организованности. UNK_GreenSec, в свою очередь, привлек внимание исследователей после обнаружения кампаний с применением загрузчика TransferLoader, впервые задокументированного в начале 2025 года. Эта вредоносная программа оказалась способной проникать в инфраструктуру через тщательно спланированные фишинговые рассылки, маскирующиеся под предложения о работе и связанные с ними документы. Их атаки направлены, в частности, на американские юридические фирмы, что демонстрирует высокую избирательность и кибершпионажный потенциал этой группы.
Несмотря на то, что TA829 и UNK_GreenSec были выявлены как отдельные киберугрозы, последние исследования показывают их значительное пересечение в инструментах и тактиках. Enterprise security компания Proofpoint, ведущее направление в изучении их деятельности, зафиксировала использование совместных методов доставки вредоносного ПО, а также схожих фишинговых тем и инфраструктурных решений. Это указывает либо на тесное сотрудничество, либо на общую покупку услуг у одних и тех же провайдеров. Одна из ключевых особенностей их деятельности заключается в использовании сервисов REM Proxy, развёрнутых на скомпрометированных маршрутизаторах MikroTik. В то время как точные методы взлома этих устройств остаются неизвестными, известно, что злоумышленники используют их для ретрансляции трафика и рассылки вредоносных сообщений.
Это обеспечивает им значительную анонимность и затрудняет детекцию их кампаний. Фишинговые рассылки, отправляемые с многочисленными поддельными адресами электронной почты, зачастую создаются с использованием специализированных средств массового создания и отправки писем. Получатель такого сообщения получает ссылку, напрямую встроенную в тело письма или скрытую в PDF-вложении. Переход по ней запускает цепочку переадресаций через сервис Rebrandly, в ходе которых отсекаются автоматические системы, эмулирующие работу машин (например, песочницы) и устройства, не представляющие интереса для злоумышленников. Далее путь целевых пользователей расходится: одни перенаправляются на фальшивые страницы Google Drive или Microsoft OneDrive, позволяющие скачать загрузчики с различной вредоносной функциональностью.
Так UNK_GreenSec использует TransferLoader для дальнейшей загрузки файлов Metasploit и Morpheus ransomware – последнего представляет собой переименованную версию HellCat, а TA829 применяет SlipScreen – особый загрузчик, который впервые расшифровывает и запускает вредоносный код прямо в оперативной памяти. SlipScreen характеризуется высокой избирательностью – перед началом заражения он проводит проверку системного реестра Windows, уточняя наличие не менее 55 недавно открытых документов. Такая проверка позволяет убедиться, что заражаемая машина является реальным устройством, а не виртуальной или тестовой средой, что значительно снижает вероятность обнаружения атаки антивирусами. Дальнейший этап заражения предусматривает использование загрузчиков MeltingClaw (известного также как DAMASCENED PEACOCK) или RustyClaw, которые подгружают бэкдоры ShadyHammock и DustyHammock. Через них злоумышленники получают длительный доступ к системе, с возможностью скачивания дополнительных вредоносных программ, включая обновленные версии RomCom RAT под названиями SingleCamper или SnipBot.
Особое внимание заслуживает использование InterPlanetary File System (IPFS) для размещения как вспомогательных утилит (например, PuTTY PLINK для организации SSH туннелей), так и самих вредоносных компонентов. IPFS позволяет злоумышленникам создавать распределённые и трудно блокируемые хранилища, что значительно усложняет анализ и устранение подобных кампаний. Команды TA829 и UNK_GreenSec демонстрируют высокий уровень технической подкованности, прибегая к «living-off-the-land» тактикам, используя легитимные инструменты и сервисы в своих целях для обхода систем обнаружения. Кроме того, применение зашифрованных командных каналов связи (C2) позволяет им пребывать в тени и сохранять контроль над заражёнными системами длительное время. Причины тесного переплетения тактик и инфраструктур обоих групп пока остаются предметом спекуляций.
Возможен вариант приобретения услуг у одного общего поставщика инфраструктуры. Другая гипотеза связана с тем, что одна из групп выступает в роли провайдера «серых» услуг, временно использующихся другой для собственных целей. Наконец, нельзя исключать, что TA829 и UNK_GreenSec являются фронтами либо подразделениями одной и той же хакерской организации, что объяснило бы схожесть методов и инструментов. В совокупности эти наблюдения отражают тенденцию стирания традиционных границ между киберпреступностью и кибершпионажем, которые раньше рассматривались как тригонометрически разные реагенты. Современные кампании всё чаще сочетают в себе черты обеих, что усложняет работу специалистов по безопасности и процесс атрибуции инцидентов.
