Известная хакерская группировка OldGremlin, проводившая серьёзные кибер-атаки против различных отечественных организаций в период с 2020 по 2022 год, снова возобновила свою киберпреступную активность. По словам экспертов по информационной безопасности компании F.A.C.C.T., была зарегистрирована новая целевая фишинговая email-рассылка, нацеленная на российскую нефтехимическую промышленность.
Как рассказывают аналитики, в рамках этих новых инцидентов информационной безопасности злоумышленниками из хакерской группировки OldGremlin применялся поддельный домен diadok[.]net, который был замаскирован под популярный сервис цифрового документооборота «Контур.Диадок». Рассылка фишинговых писем осуществлялась 12 августа 2024 года с темой «Уведомление из Диадок: документы требуют вашего участия».
Внутри этих писем злоумышленники добавили ссылку на загрузку архива, внутри которого содержалось вредоносное программное обеспечение. В том случае, если пользователь переходил по этой ссылке и скачивал файл, на устройстве запускался вредоносный загрузчик под названием OldGremlin.JsDownloader. В качестве получателей таких фишинговых писем были сотрудники нескольких крупных отечественных предприятий, работающих в сфере нефтехимической промышленности.
В компании F.A.C.C.T. уточняют, что настоящий домен «Контур.Диадок» имеет вид diadoc[.]ru. Именно этот момент привлёк внимание специалистов по информационной безопасности, поскольку в прошлые годы сервис «Диадок» пытались подделывать только представители хакерской группы OldGremlin.
Последующее изучение вредоносного документа подтвердило предположения специалистов по информационной безопасности, в связи с чем в компании F.A.C.C.T. пришли к выводу о том, что группировка OldGremlin снова начала угрожать российским компаниям разных отраслей деятельности, применяя модернизированные вредоносные инструменты.
Стоит напомнить, что в прошлые годы жертвами хакерской группы OldGremlin выступали преимущественно компании, работающие в сфере финансов, логистики, промышленности и страхования. Также страдали разработчики программного обеспечения, девелоперы и ритейлеры.
Оригинал публикации на сайте CISOCLUB: "Атаковавшая российские компании три года назад хакерская группа OldGremlin снова активизировалась".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.