Компания F.A.С.С.T., российский разработчик технологий для борьбы с киберпреступлениями, зафиксировала 10 мая масштабную почтовую рассылку и заблокировала более 600 вредоносных писем, распространяемых под видом мобилизационных повесток.
Вредоносные письма были направлены российским компаниям (в том числе HR-специалистам и секретарям) якобы от имени Главного Управления военного комиссариата МО РФ с фальшивого адреса электронной почты mail@voenkomat-mil[.]ru, рассказали в компании.
Хакеры достигают цели в среднем за семь дней
В отправленных письмах говорится о том, что получатели обязаны появиться 11 мая к 8.00 в военный комиссариат для уточнения данных. Оригинал мобилизационного предписания находится якобы в приложении к письму.
На самом деле перехваченные вредоносные письма содержат zip-архивы с именами вида «Мобилизационное предписание №5010421409-ВВК от 10.05.2023.zip» и exe-файлом внутри. При автоматическом анализе exe-файлы были атрибутированы как троян удаленного доступа DarkWatchman RAT. Ранее он был зафиксирован в кампаниях финансово-мотивированной группы Hive0117 и использовался злодеями в качестве разведывательного прибора на первоначальной стадии атаки.
В F.A.С.С.T. сообщили, что потенциальными жертвами атаки бы были банки, IT-компании, предприятия малого и среднего бизнеса, однако масштабная атака была остановлена автоматизированой системой защиты электронной почты Business Email Protection, не затронув важных бизнес-процессов компаний, у каких установлена система BEP.
Фото: Freepik