Обнаружен новый способ хакинга, используя который злоумышленники получили доступ к системам не менее 400 организаций России и стран СНГ. В нем используется совершенно легальное средство удалённого доступа NetSupport.
Группа злоумышленников, известная как Bloody Wolf, проводила атаки, отправляя фишинговые письма, имитирующие уведомления от государственных органов, и подставляя в них персональные данные жертв для повышения доверия.
В декабре 2024 года эксперты BI.ZONE Threat Intelligence выявили активную кампанию, нацеленную на российские организации в таких секторах, как финансы, ритейл, IT, транспорт и логистика.
По словам Олега Скулкина, руководителя BI.ZONE Threat Intelligence, для повышения эффективности атак злоумышленники отказались от использования вредоносного ПО STRRAT и перешли на применение NetSupport. Поскольку этот инструмент является легитимным, традиционные средства защиты часто не способны его обнаружить.
Для большей убедительности атакующий кластер подготовил письма с вложениями, содержащими правовую информацию о предполагаемой жертве. Такие тщательно продуманные фишинговые сообщения встречаются лишь в небольшом проценте случаев, так как обычно киберпреступники делают ставку на массовость, а не на индивидуальную точность.
Хакеры «заходят» в корпоративные сети через уязвимость в 7-Zip
Атаки осуществлялись посредством рассылки PDF-документов, которые маскировались под официальные уведомления о привлечении к ответственности за налоговые правонарушения. В дополнение к ссылкам на вредоносные файлы, документы содержали инструкции по установке Java-интерпретатора, необходимого для работы использованного программного обеспечения.
NetSupport, применяемый злоумышленниками, широко используется для удалённого управления, мониторинга, поддержки и обучения в образовательных учреждениях и корпоративной среде, хотя в российских организациях он уступает по популярности таким программам, как AnyDesk или «Ассистент».
Стоит отметить, что это не первый случай атак группы Bloody Wolf. В 2023 году злоумышленники нацеливались на организации Казахстана, распространяя фишинговые письма от имени регуляторов и используя троян STRRAT для удалённого контроля над заражёнными системами.
DeepSeek для iPhone содержит критические уязвимости?
Наиболее доступным способом избежать подобных проблем, является не только постоянное обучение персонала основам безопасности, но и оперативное реагирование на новые угрозы. Современные решения для защиты помогают обнаружить атаку на ранних стадиях и быстро нейтрализовать угрозу как автоматически, так и с участием специалистов по кибербезопасности.
Ранее, хакерская группировка Silent Crow заявила о взломе баз данных «Ростелекома». По информации Telegram-канала «Утечки информации», хакеры получили доступ к сайтам company.rt_ru и zakupki.rostelecom_ru, в результате чего были скомпрометированы 154 000 уникальных адресов электронной почты и 101 000 уникальных номеров телефонов.