В начале 2024 года в ходе анализа массовых вредоносных рассылок по электронной почте эксперты по информационной безопасности команды F.A.C.C.T. Threat Intelligence обнаружили несколько схожих кибератак и предположили, что все они связаны с одной и той же хакерской группировкой. В результате группа была названа Narketing163 в соответствии с наиболее часто применяемым ею электронным адресом narketing163@gmail[.]com.
По информации специалистов по информационной безопасности, хакерская группа Narketing163 организует фишинговые кибератаки на отечественные организации как минимум с середины июля 2023 года. По состоянию на сентябрь 2024 года было выявлено свыше 500 вредоносных электронных писем.
Тематика этих фишинговых писем чаще всего связана с различными коммерческими предложениями на услуги и товары, с обработкой заказов, сроками поставки и оплатой заказов. Фишинг нацелен на российские компании различных сфер деятельности: строительной, медицинской, логистической, пищевой отраслей, ритейла, e-commerce и т. п.
Помимо российских организаций, хакерская группировка Narketing163 также проводит фишинговые атаки против пользователей из разных стран мира, в том числе Соединённых Штатов, Германии, Индии, Великобритании, Норвегии, Мексики, Казахстана, Азербайджана, Армении, Белоруссии и других государств.
Как выяснили эксперты F.A.C.C.T. Threat Intelligence, хакерская группировка Narketing163 чаще всего осуществляет рассылку фишинговых писем от электронных адресов с доменов верхнего уровня: tr, az, com, kz, pe, info, net. Это делается, чтобы имитировать активность от существующих организаций. В рассылаемых электронных письмах злоумышленники обычно оставляют обратные email адреса.
В рассылках хакеров Narketing163 систематически меняются IP-адреса отправителей электронных писем. Эксперты по информационной безопасности полагают, что для этого злоумышленники используют средства анонимизации, такие как VPN и прокси-серверы.
В процессе проведения кибератак злоумышленники из Narketing163 распространяли вредоносное программное обеспечение, которое было атрибутировано продуктом F.A.C.C.T. Managed XDR к следующим семействам вредоносов: RedLine Stealer, Agent Tesla, FormBook (FormBookFormgrabber), Snake Keylogger.