Поделиться
В Solar 4Rays выявили новую фишинговую атаку на госсектор
Эксперты центра исследования киберугроз Solar 4Rays ГК «Солар», архитектора комплексной кибербезопасности, расследовали новую целевую атаку известной восточноазиатской группировки Erudite Mogwai на одно из госведомств. Хакеры рассылали его сотрудникам фишинговые письма от имени подрядчика с требованием проверить корпоративные информационные ресурсы на предмет новых киберугроз. При этом программа-загрузчик вредоноса из письма прекращает работу сразу же, как только понимает, что ее проверяют в изолированной среде. В Solar 4Rays вовремя отследили опасную рассылку на заказчика, смогли изучить более ранние фишинговые письма группировки и предотвратили возможный ущерб от атаки на ведомство.
Жертву — один из городских департаментов — атаковали в мае 2025 г. ИБ-сотрудникам организации прислали фишинговое письмо с почтового домена ранее скомпрометированного подрядчика, в нем было требование принять дополнительные меры по обеспечению ИБ. Для этого хакеры попросили перейти по ссылке для предоставления информации о сотрудниках, которые имеют доступ к конфиденциальным данным компании. Ссылка в письме вела на сервис одноразовых ссылок организации-жертвы с архивом «Приложение.7z».
Внутри архива было три файла: файл MS Word с анкетой сотрудника, имеющего доступ к секретной информации; PDF-файл с планом по информационной безопасности на 2025 г. (загружен с официального сайта организации-жертвы), и lnk-файл с программой-загрузчиком вредоноса — он был замаскирован под формат PDF с уведомлением о необходимости внутренней проверки. ИБ-специалисты департамента заподозрили подозрительную активность и обратились к Solar 4Rays с просьбой изучить письмо и файлы.
Эксперты Solar 4Rays проанализировали письмо, подтвердили фишинг и обнаружили аналогичную рассылку Erudite Mogwai на другие организации в 2024 г. Специалисты выяснили, что и в атаке 2025 г., и в прошлогодних рассылках замаскированный lnk-файл загружал документ-приманку и программы для поэтапной загрузки вредоноса. При этом загрузчик имел механизмы для многоступенчатой проверки на запуск в виртуальной среде. Если вредонос обнаруживает, что запущен в «песочнице», он прекращает работу. Это сделано, чтобы скрыть атаку и затруднить анализ ВПО исследователями.
В прошлогодней рассылке загрузка всех этих файлов выполнялась с заранее скомпрометированного легитимного ресурса негосударственной образовательной организации, что повышало доверие компании-жертвы. По атакам прошлого года эксперты также выяснили, что тем самым вредоносом был бэкдор — с его помощью хакеры и планировали удаленно управлять зараженным компьютером. При этом вредонос начинал выполнять свои функции не сразу, а спустя несколько часов после скачивания файлов – это значительно затрудняло обнаружение атаки.
По результатам исследования письма для департамента в 2025 г. и аналогичных рассылок из 2024 г. видно, что атакующие, вероятно, сначала проводили пробные атаки и вносили в письма различные улучшения. Это говорит о том, что такой способ получения первоначального доступа к компьютеру эффективен. Erudite Mogwai продолжают совершенствовать фишинговые письма, и в 2025 г. могут быть еще подобные рассылки, что может представлять угрозу для российских компаний.
По мнению экспертов Solar 4Rays, за атаку на госсектор 2025 г. ответственны злоумышленники из азиатской группировки Erudite Mogwai по ряду признаков, среди которых — применение импланта на сервере управления хакеров, имеющего связь с Erudite Mogwai, а также использование литературных названий для импланта и фреймворка — Pinocchio и Hermes соответственно. Ранее эта же группировка использовала фразы из произведений по вселенным Гарри Поттера и Лавкрафта.
«По нашим наблюдениям, Erudite Mogwai очень осторожны. Они с каждым разом усложняют атаку, пытаясь уйти от обнаружения. Для защиты от подобных атак мы рекомендуем российским организациям более внимательно относиться к письмам от подрядчиков, которые содержат в себе ссылки на загрузку архивов. Особенно такое письмо подозрительно, если раньше подрядчики не просили ничего загружать», — сказал Алексей Вишняков, технический директор центра исследования киберугроз Solar 4Rays ГК «Солар».
Специалисты Solar 4Rays в своем блоге опубликовали индикаторы компрометации группировки — это поможет российским компаниям обнаруживать и блокировать вредоносную активность злоумышленников в своих корпоративных сетях.
Поделиться
Короткая ссылка
