BI.ZONE о фишинговых атаках группировки Rare Wolf
Как сообщила BI.ZONE, ее специалисты Threat Intelligence обнаружили группировку Rare Wolf, которая использует фишинг и легитимное ПО для атак на российские организации. Одной из целей злоумышленников был доступ к телеграм-аккаунтам сотрудников компаний. Группировка активна с 2019 г. и также совершала атаки на компании из стран ближнего зарубежья.
Злоумышленники рассылали фишинговые письма, замаскированные под уведомления об оплате. К каждому письму прилагался архив, в котором якобы находились накладная «1С:Предприятие» и электронный ключ для доступа к ней. На самом деле внутри архива был файл с расширением .scr.
После открытия файла на компьютер жертвы загружалось несколько архивов с инструментами. С их помощью злоумышленники собирали все документы, которые были на диске скомпрометированной системы, извлекали сохраненные пароли из браузера и копировали папку мессенджера Telegram. В этой папке среди прочего содержался зашифрованный ключ, который позволял преступникам зайти в скомпрометированную учетную запись без авторизации и незаметно для жертвы контролировать всю переписку и пересылаемые файлы. Новые сессии при этом не фиксировались в истории активностей.
Вся информация, которую удавалось собрать злоумышленникам, отправлялась на подконтрольный им электронный адрес. Причем применялась утилита, позволяющая сделать это с использованием командной строки.
Затем в скомпрометированную систему устанавливалась программа Mipko Employee Monitor. Это легитимное ПО для мониторинга действий сотрудников, которое чаще всего используют корпоративные службы безопасности. Однако злоумышленники применяли его, чтобы перехватывать нажатия клавиш и логи буфера обмена, делать скриншоты и снимки с камеры устройства.
Как подчеркивают в BI.ZONE Threat Intelligence, злоумышленники продолжают использовать для атак легитимные инструменты, что не только дает им возможность обойти многие средства защиты, но и позволяет долгое время оставаться незамеченными в скомпрометированной инфраструктуре. Фишинговая рассылка – один из самых распространенных способов получить первоначальный доступ в ходе целевых атак. Для защиты от нее следует использовать специализированные решения, которые блокируют спам и вредоносные письма.