Кибератаки с использованием российских программ удаленного доступа

Как сообщила компания BI.ZONE, эксперты ее управления киберразведки зафиксировали атаки новой группировки Quartz Wolf на гостиничный бизнес, в которых против российских компаний впервые используется отечественное же решение для удаленного доступа. Таким образом преступники обходят традиционные средства защиты и закрепляются в инфраструктуре бизнеса.

Как поясняют в компании, злоумышленники часто применяют иностранные инструменты удаленного доступа, чтобы закрепиться в инфраструктуре взломанной компании. Наиболее популярны для этого программы TeamViewer, AnyDesk и AmmyAdmin. Ими же часто пользовались сами компании для своих бизнес-целей, поэтому службы безопасности не могли блокировать такие программы. Однако сейчас многие российские организации переходят на отечественное ПО, так что стало возможным блокировать зарубежный софт, который могут использовать злоумышленники. Группировка Quartz Wolf адаптировала атаки: чтобы обойти традиционные средства защиты, она использует отечественные решения для удаленного доступа.

Злоумышленники рассылают фишинговые электронные письма от лица компании «Федеральный Гостиничный Сервис», с помощью которой передаются сведения о регистрации и данные для миграционного учета в МВД. В сообщениях атакующие якобы уведомляют о вступивших в силу изменениях в процедуре регистрации, с которыми необходимо срочно ознакомиться по приложенной ссылке. Пользователь скачивает архив, открывает его и тем самым запускает вредоносный файл. При этом устанавливается российское решение для удаленного доступа «Ассистент».

Удаленный доступ позволяет атакующим перехватывать управление скомпрометированной системой, блокировать устройства ввода, копировать файлы, модифицировать реестр, использовать командную строку Windows и т. п. Это открывает для злоумышленников широкие возможности: от кражи учетных данных для входа в бизнес-системы и передачи данных клиентов на сторонний сервер до совершения операций в банковском ПО от имени жертвы.