Сотни российских компаний были атакованы с помощью PDF-файлов
Эксперты BI.ZONE обнаружили массированную атаку на бизнес, от которой в конце прошлого года пострадало как минимум 400 компаний из России и других стран СНГ.
В декабре 2024 года группировка Bloody Wolf осуществила новую кампанию, нацеленную на организации в России и других странах СНГ, сообщили PRO Шеринг в BI.ZONE Threat Intelligence. От действий злоумышленников пострадали не менее 400 компаний финансового сектора, ритейла, ИT, транспорта и логистики.
«Чтобы повысить результативность атак, кластер Bloody Wolf заменил вредоносное ПО STRRAT на средство удаленного доступа NetSupport. Поскольку это легитимный инструмент, традиционные средства защиты могут его не обнаружить. Кроме того, злоумышленники сделали письмо довольно убедительным: вложенный файл содержал правовую информацию о жертве. Подобный фишинг встречается лишь в 10% случаев: обычно киберпреступники делают ставку на массовость, а не на качество», — сказал Олег Скулкин, руководитель BI.ZONE Threat Intelligence.
Хакеры замаскировали PDF-документы под решения о привлечении к ответственности за совершение налогового правонарушения. Их рассылка содержала ссылки на вредоносные файлы, а также инструкции по установке интерпретатора Java, который необходим для работы программного обеспечения (ПО).
Злоумышленники использовали NetSupport ( ПО для удаленного управления, мониторинга, поддержки и обучения), который широко используется в образовательных учреждениях и корпоративной среде, хоть и не так популярен, как, например, AnyDesk или «Ассистент».
В 2023 году Bloody Wolf уже атаковала бизнес в Казахстане через рассылку фишинговых писем якобы от регуляторов. Тогда использовался коммерческий троян STRRAT, который позволял удаленно выполнять команды на скомпрометированном компьютере, управлять файлами и т. д.
Отследить атаку на ранних стадиях и оперативно отреагировать в автоматическом режиме либо с помощью команды кибербезопасности помогают решения для защиты конечных точек от сложных угроз, такие как BI.ZONE EDR, а ускорить реагирование — порталы киберразведки, например BI.ZONE Threat Intelligence. Они предоставляют подробную информацию об актуальных атаках, злоумышленниках, их техниках и инструментах, помогают обеспечить эффективную работу СЗИ.
Фото: freepik, создано при помощи ИИ
