BI.ZONE зафиксировала атаки на оборонно-промышленный комплекс и объекты критической информационной инфраструктуры с целью шпионажа, сообщили в пресс-службе компании.
Цель злоумышленников - конфиденциальная информация о российских критически важных объектах.
Преступники грабят пароли за счет ПО с открытым исходным кодом
Сегодня у многих киберзлоумышленников и APT-группировок стало трендом использование легитимных средств для того, чтобы длительнее оставаться незамеченными.
Пример такой группировки - Core Werewolf, которая начала деятельность не позже августа 2021 года и продолжает атаки до сих пор. Группировка применяет фишинг и легитимное ПО, чтобы получить полный контроль над системой пользователя, копировать файлы, выслеживать его действия
Эксперты киберразведки BI.ZONE проанализировали документы, которые злоумышленники использовали для отвлечения внимания жертв, и выяснили: основными целями разведчиков стали российские организации, связанные с оборонно-промышленным комплексом и критической инфраструктурой.
Для проникновения в учреждения нападающие использовали фишинговые письма со ссылками на опасные файлы, замаскированными под документы форматов DOCX и PDF: постановления и приказы, методические пособия, служебные записки и резюме. При открытии такого файла пользователь видел заявленный документ, в то время как на его устройство в фоновом режиме устанавливалась программа UltraVNC. Это легитимное ПО, которое неоднократно используют для удаленного подключения к компьютеру. Атакующие же таким образом получали доступ к скомпрометированному устройству.
«Чтобы снизить риски аналогичных атак, необходимо выстраивать и реактивный, и проактивный подход к обнаружению киберугроз», - отметил руководитель управления киберразведки BI.ZONE Олег Скулкин.
Эксперты BI.ZONE советуют охранять электронную почту специализированными решениями, которые блокируют вредоносные письма. Кроме того, необходимо наладить мониторинг событий кибербезопасности, чтобы выслеживать подозрительное поведение легальных программ.
Фото: Freepik