Bi.Zone: группировка Rare Wolf маскирует вредоносные письма под накладные «1С:Предприятие»
Специалисты Bi.Zone Threat Intelligence обнаружили группировку Rare Wolf, которая использует фишинг и легитимное ПО для атак на российские организации. Одной из целей злоумышленников был доступ к телеграм-аккаунтам сотрудников компаний. Группировка активна с 2019 г. и также совершала атаки на компании из стран ближнего зарубежья. Об этом CNews сообщили представители BI.Zone.
Злоумышленники рассылали фишинговые письма, замаскированные под уведомления об оплате. К каждому письму прилагался архив, в котором якобы находились накладная «1С:Предприятие» и электронный ключ для доступа к ней. На самом деле внутри архива был файл с расширением .scr.
После открытия файла на компьютер жертвы загружалось несколько архивов с инструментами. С их помощью злоумышленники собирали все документы, которые были на диске скомпрометированной системы, извлекали сохраненные пароли из браузера и копировали папку мессенджера Telegram. В этой папке среди прочего содержался зашифрованный ключ, который позволял преступникам зайти в скомпрометированную учетную запись без авторизации и незаметно для жертвы контролировать всю переписку и пересылаемые файлы. Новые сессии при этом не фиксировались в истории активностей.
Вся информация, которую удавалось собрать злоумышленникам, отправлялась на подконтрольный им электронный адрес. Причем применялась утилита, позволяющая сделать это с использованием командной строки.
Затем в скомпрометированную систему устанавливалась программа Mipko Employee Monitor. Это легитимное программное обеспечение для мониторинга действий сотрудников, которое чаще всего используют корпоративные службы безопасности. Однако злоумышленники применяли его, чтобы перехватывать нажатия клавиш и логи буфера обмена, делать скриншоты и снимки с камеры устройства.
Олег Скулкин, руководитель Bi.Zone Threat Intelligence: «Злоумышленники продолжают использовать для атак легитимные инструменты. Это не только дает им возможность обойти многие средства защиты, но и позволяет долгое время оставаться незамеченными в скомпрометированной инфраструктуре, фактически слиться с ней. Важно понимать, что разработчики и поставщики легитимного ПО не несут ответственности за нецелевое и незаконное использование их решений».
Фишинговая рассылка — один из самых распространенных способов получить первоначальный доступ в ходе целевых атак. Чтобы защититься от нее, следует использовать специализированные решения, которые блокируют спам и вредоносные письма. Эффективно реагировать на новые угрозы помогут сервисы непрерывного мониторинга ИТ-инфраструктуры: они позволяют оперативно распознать продвинутые атаки.
Также важно обучать сотрудников киберграмотности. В частности, не рекомендуется использовать Telegram и прочие мессенджеры для пересылки любых материалов, связанных с коммерческой тайной, персональными данными и другой чувствительной информацией.
***
Bi.Zone — компания по управлению цифровыми рисками, которая помогает организациям безопасно развивать бизнес в киберпространстве. Bi.Zone разрабатывает собственные продукты для обеспечения устойчивости ИТ?инфраструктур любого размера и оказывает широкий спектр услуг по киберзащите: от расследования инцидентов и мониторинга угроз до создания стратегий по кибербезопасности и комплексного аутсорсинга профильных функций. С 2016 г. компания реализовала более 1,2 тыс. проектов в сферах финансов, телекоммуникаций, энергетики, авиации и многих других, защитив свыше 500 клиентов в 15 странах мира.