Группа злоумышленников, известная как Bloody Wolf, проводила атаки, отправляя фишинговые письма, имитирующие уведомления от государственных органов, и подставляя в них персональные данные жертв для повышения доверия.
В декабре 2024 года эксперты BI.ZONE Threat Intelligence выявили активную кампанию, нацеленную на российские организации в таких секторах, как финансы, ритейл, IT, транспорт и логистика.
Для большей убедительности атакующий кластер подготовил письма с вложениями, содержащими правовую информацию о предполагаемой жертве. Такие тщательно продуманные фишинговые сообщения встречаются лишь в небольшом проценте случаев, так как обычно киберпреступники делают ставку на массовость, а не на индивидуальную точность.
Атаки осуществлялись посредством рассылки PDF-документов, которые маскировались под официальные уведомления о привлечении к ответственности за налоговые правонарушения. В дополнение к ссылкам на вредоносные файлы, документы содержали инструкции по установке Java-интерпретатора, необходимого для работы использованного программного обеспечения.
NetSupport, применяемый злоумышленниками, широко используется для удалённого управления, мониторинга, поддержки и обучения в образовательных учреждениях и корпоративной среде, хотя в российских организациях он уступает по популярности таким программам, как AnyDesk или «Ассистент».
Стоит отметить, что это не первый случай атак группы Bloody Wolf. В 2023 году злоумышленники нацеливались на организации Казахстана, распространяя фишинговые письма от имени регуляторов и используя троян STRRAT для удалённого контроля над заражёнными системами.
Наиболее доступным способом избежать подобных проблем, является не только постоянное обучение персонала основам безопасности, но и оперативное реагирование на новые угрозы. Современные решения для защиты помогают обнаружить атаку на ранних стадиях и быстро нейтрализовать угрозу как автоматически, так и с участием специалистов по кибербезопасности.
Ранее, хакерская группировка Silent Crow заявила о взломе баз данных «Ростелекома». По информации Telegram-канала «Утечки информации», хакеры получили доступ к сайтам company.rt_ru и zakupki.rostelecom_ru, в результате чего были скомпрометированы 154 000 уникальных адресов электронной почты и 101 000 уникальных номеров телефонов. Читайте также Сергей Демидов: «Главное — не запретить, а помочь» Почему классическая защита периметра уже не работает? Какие киберугрозы становятся главными для финансового сектора? Как Московская биржа выстраивает безопасность — от облачных технологий до работы с людьми? Об этом в интервью журналу IT Manager рассказал Сергей Демидов, директор по информационной безопасности Московской биржи.
Источник: www.it-world.ru
