Около 85% фишинговых сообщений приходят в компании под видом финансовых документов и официальных писем от государственных органов, сообщает BI.ZONE в пятницу.
По данным BI.ZONE, в 2023 году с фишинговых рассылок начинались 68% атак на компании России и других стран СНГ. В первом полугодии 2024 года этот показатель вырос до 76%. При этом 79% фишинга злоумышленники маскируют под финансовую документацию, например счета и платежные документы; 8% фишинговых писем мимикрируют под договоры и соглашения, а 5% — под резюме. Еще 4% подобных рассылок приходит под видом сообщений от регуляторов.
Фишинговые письма якобы от лица государственных органов нередко отличаются высоким уровнем юридической грамотности и могут содержать ссылки на настоящие официальные сайты. Так злоумышленники стараются усыпить бдительность пользователей. Наряду с этим они могут использовать редкое вредоносное ПО (ВПО), которое сложнее распознать с помощью стандартных инструментов. Это повышает вероятность того, что атакующий проникнет в инфраструктуру незамеченным, успеет в ней закрепиться и нанести серьезный ущерб.
Так, PDF-файл во вложении письма от Bloody Wolf достоверно имитировал официальное уведомление о необходимости устранить нарушения. Кроме ссылок на вредоносные файлы, документ содержал инструкции по установке интерпретатора Java, который необходим для работы ВПО. Еще одна ссылка вела на легитимный сайт госоргана Республики Казахстан, где также опубликована такая инструкция — Java обеспечивает корректную работу государственного портала.
Вредоносная программа представляла собой коммерческий троян STRRAT, также известный как Strigoi Master. Он позволяет злоумышленнику удаленно выполнять команды на скомпрометированном компьютере, управлять файлами и браузерами, перехватывать нажатия клавиш и т. д. Функциональные особенности Strigoi Master принципиально не отличаются от возможностей аналогичных средств удаленного доступа. Преимущество данного ВПО в том, что его сложнее распознать из-за использования редких типов файлов.
Bloody Wolf — не первая группировка, которая использует для атак на компании стран СНГ фишинг, замаскированный под сообщения от госорганов. Похожие схемы применяли Scaly Wolf для атак на российские промышленные и логистические компании, Mysterious Werewolf — на предприятия ВПК, а Sticky Werewolf — на государственные организации России и Беларуси.
В атаках, подобных тем, которые реализовывал кластер Bloody Wolf, важно не только обнаружить попытку проникновения в сеть, но и вовремя отреагировать на нее. Решения для защиты конечных точек от сложных угроз, например BI.ZONE EDR, помогут отследить атаку на ранних этапах и оперативно принять меры в автоматическом режиме либо с помощью команды кибербезопасности.
Ускорить реагирование на инциденты, защититься от наиболее критичных для компании угроз и повысить эффективность работы СЗИ могут помочь данные порталов киберразведки, предоставляющие подробную информацию об актуальных атаках, злоумышленниках, их техниках и инструментах.