Спецпроекты

Безопасность Пользователю Стратегия безопасности

Сверьте данные: злоумышленники атакуют российские компании под видом официальных ведомств

Эксперты «Лаборатории Касперского» предупредили о новой вредоносной рассылке по компаниям в России. Среди сообщений попадаются письма якобы от официальных ведомств страны. Согласно легенде злоумышленников, из-за ошибок в электронной базе данных получатель должен проверить правильность информации о сотрудниках. Вероятно, цель атакующих — шпионаж, кража документов или данных для доступа к корпоративным почтовым ящикам. Используемые зловреды и техники имеют множество сходств с теми, которые применяет в своих атаках группа XDSpy. Об этом CNews сообщили представители «Лаборатории Касперского».

Рассылка началась утром 13 марта 2023 г. За четверо суток эксперты «Лаборатории Касперского» обнаружили несколько сотен подобных писем*. Злоумышленники просят сверить данные о сотрудниках якобы из базы ведомства. Под видом вложенного списка рассылается вредоносное ПО. В сообщении утверждается, что обновленную информацию нужно направить срочно, иначе получатель рискует быть привлеченным к административной ответственности. Среди основных адресатов — сотрудники кадровых и финансовых отделов. Однако, как предупреждают специалисты, такое письмо может прийти на любой корпоративный адрес.

15 марта 2023 г. была заблокирована еще одна волна рассылки с теми же признаками. В ней злоумышленники пугали получателя уголовной статьей в связи с неким денежным переводом и предлагали перейти по ссылке, чтобы узнать подробности «дела». Ссылка также была вредоносной.

Для рассылки злоумышленники регистрируют домены, которые похожи на легитимные файловые хостинги. Если пользователь попытается посмотреть заявленный в письме список, распакует скачавшийся архив и откроет файл, то при помощи командной строки запустится вредоносный код, и атака продолжится.

«В скачиваемом по ссылке архиве два файла. Один из них — ярлык, название которого соответствует описанию в тексте письма (например, Spisok_No_658.lnk). Второй — текстовый, с вредоносным кодом. Он назван Thumbs.db, как и служебный файл в операционных системах Microsoft, который используется для хранения эскизов содержащихся в папке изображений. Если попытаться открыть этот якобы список, то автоматически запустится второй файл, атака продолжится», — сказала Виктория Власова, эксперт по кибербезопасности «Лаборатории Касперского».

«Сами письма хотя и выглядят правдоподобно — содержат подпись и адрес отправителя — написаны довольно небрежно, с ошибками. Более того, внимательный пользователь заметит, что приходят они с домена, не имеющего отношения к заявленной организации, — отметил Андрей Ковтун, руководитель группы защиты от почтовых угроз «Лаборатории Касперского». — В целом рассылка похожа на ту, что мы видели в октябре прошлого года, когда шла волна писем с поддельными повестками в военкомат: используется почтовая программа Thunderbird; формат письма, внешний вид ссылок и имена доменов тоже похожи; отправка, как и тогда, осуществляется с доменов не из зоны ru».

Для предотвращения целевых атак эксперты «Лаборатории Касперского» рекомендуют организациям: использовать комплексные решения для защиты всей инфраструктуры от кибератак любой сложности; применять специализированное решение, которое сочетает функции детектирования и реагирования с функциями threat hunting и позволяет распознавать известные и неизвестные угрозы без привлечения внутренних ресурсов компании; предоставлять команде SOC (центра мониторинга кибербезопасности) доступ к актуальной информации о ландшафте киберугроз — специализированным отчетам с такими данными; проводить тренинги для специалистов по реагированию на киберинциденты, чтобы развивать их компетенции; организовывать для сотрудников неспециализированных подразделений обучение базовым навыкам ИБ, поскольку целевые атаки часто начинаются с фишинга или других схем с использованием социальной инженерии.

* Данные на основе анонимизированной статистики срабатывания решений «Лаборатории Касперского» в середине марта 2023 г.

Короткая ссылка