Поделиться
Ключ к «успеху»: легитимный инструмент открыл злоумышленникам доступ к данным 400 компаний
Злоумышленники скомпрометировали не менее 400 организаций России и других стран СНГ при помощи легитимного средства удаленного доступа NetSupport. В своих атаках известный кластер достоверно имитировал уведомления от государственных органов, используя в фишинговых письмах данные жертв. Об этом CNews сообщили представители Bi.Zone.
В декабре 2024 г. специалисты Bi.Zone Threat Intelligence обнаружили новую кампанию группировки Bloody Wolf, нацеленную на российские организации. Среди пострадавших отраслей — финансовый сектор, ритейл, ИТ, транспорт и логистика.
Олег Скулкин, руководитель Bi.Zone Threat Intelligence: «Чтобы повысить результативность атак, кластер Bloody Wolf заменил вредоносное ПО STRRAT на средство удаленного доступа NetSupport. Поскольку это легитимный инструмент, традиционные средства защиты могут его не обнаружить. Кроме того, злоумышленники сделали письмо довольно убедительным: вложенный файл содержал правовую информацию о жертве. Подобный фишинг встречается лишь в 10% случаев: обычно киберпреступники делают ставку на массовость, а не на качество».
Bloody Wolf распространяла PDF-документы, замаскированные под решения о привлечении к ответственности за совершение налогового правонарушения. Кроме ссылок на вредоносные файлы, вложение содержало инструкции по установке интерпретатора Java, который необходим для работы ПО.
В новой кампании злоумышленники использовали NetSupport — программное обеспечение для удаленного управления, мониторинга, поддержки и обучения. Этот инструмент широко используется в образовательных учреждениях и корпоративной среде. При этом в российских организациях он не так популярен, как, например, AnyDesk или «Ассистент».
Это не первая кампания Bloody Wolf. В 2023 г. злоумышленники атаковали организации Казахстана, рассылая жертвам фишинговые письма от имени регуляторов. Тогда кластер использовал коммерческий троян STRRAT, который позволял удаленно выполнять команды на скомпрометированном компьютере, управлять файлами и т. д.
В атаках, подобных тем, которые проводила группировка Bloody Wolf, важно не только обнаружить попытку проникновения в сеть, но и вовремя отреагировать на нее. Решения для защиты конечных точек от сложных угроз помогут отследить атаку на ранних стадиях и оперативно отреагировать в автоматическом режиме либо с помощью команды кибербезопасности.
Ускорить реагирование на инциденты и защититься от наиболее критических для компании угроз помогут порталы киберразведки. Они предоставляют подробную информацию об актуальных атаках, злоумышленниках, их техниках и инструментах, а также помогают обеспечить эффективную работу СЗИ.
Поделиться
Короткая ссылка
