Шпионская группировка Squid Werewolf рассылает фишинговые письма под видом HR-менеджеров

Шпионская группировка Squid Werewolf была поймана на рассылке фишинговых писем, маскируясь под HR-менеджеров известных компаний. Это нетипичный подход для группировок, специализирующихся на шпионаже, но он стал возможен благодаря высококачественной подготовке злоумышленников, которые целенаправленно атакуют государственные и научно-исследовательские организации в таких странах, как Южная Корея, Япония, Вьетнам, Россия, США, Индия и ОАЭ.

В конце 2024 года Squid Werewolf попыталась проникнуть в одну из российских компаний, отправив фишинговое письмо с предложением о работе. Для повышения шансов на успех, атакующие заранее собрали информацию о целевой жертве и добавили в письмо детали, казалось бы, реального предложения, включая предполагаемую заработную плату.

Как сообщил Олег Скулкин, руководитель BI.Zone Threat Intelligence, группировка самостоятельно разработала вредоносный инструмент и использовала несколько слоев обфускации для сокрытия своих действий. Это сделало обнаружение вредоносной активности трудноосуществимым для систем безопасности.

Получатель письма находил в нем вложенный ZIP-архив с LNK-файлом, который под именем «Предложение о работе.pdf.lnk» был нацелен на запуск вредоносного ПО и получение доступа к конфиденциальным данным. Наблюдая за трендами атак, специалисты отмечают, что злоумышленники стали реже использовать документы Microsoft Office, на которые Microsoft накладывает ограничения по выполнению макросов, предпочитая архивы с исполняемыми файлами и ярлыками.

По данным BI.Zone, в 2024 году 57% целевых атак на российские компании начинались с фишинговых писем. Для защиты от подобных угроз, компаниям рекомендуется применять фильтрацию нежелательной почты с помощью специализированных решений.

]]>