Эксперты ИБ-компании BI.ZONE обнаружили новую волну атак группировки Red Wolf (также известна как RedCurl), которая никак не проявляла себя с 2022 года; как и прежде, атаки нацелены на конфиденциальные данные российских коммерческих организаций, сообщает BI.ZONE в четверг.
Red Wolf с 2018 года занимается промышленным кибершпионажем на территории России, Германии, Украины, Канады, Норвегии и Великобритании.
Для проникновения в организации атакующие рассылают фишинговые электронные письма. В обнаруженной экспертами BI.ZONE кампании злоумышленники использовали образы дисков для доставки вредоносного программного обеспечения на целевые системы. Процесс компрометации включал несколько стадий, что затрудняло обнаружение традиционными средствами защиты. По результатам успешной компрометации Red Wolf отправляла данные о системе на командный сервер и загружала дополнительное вредоносное программное обеспечение.
«Обычно шпионажем занимаются спонсируемые государствами группы, поэтому страдают в основном промышленные и государственные компании. Но есть исключения, например, Red Wolf. Её цели — преимущественно коммерческие организации. Группировка предпочитает медленное продвижение по скомпрометированной IT-инфраструктуре, оставаясь незамеченной до полугода. Несмотря на использование широко известных методов реализации атак, злоумышленникам всё же удается эффективно противодействовать традиционным средствам защиты, сводя возможность обнаружения к минимуму», — говорится в сообщении.
Чтобы снизить риск подобных атак, необходимо наладить защиту электронной почты. Именно её использовали злоумышленники из Red Wolf. Важно, чтобы компания могла остановить кибератаку на любой стадии её развития, отмечают в BI.ZONE.
В мае компания уже сообщала о схожей истории с применением фишинговых писем и ISO-файлов, в которых в IT-системы доставлялось вредоносное ПО Umbral Stealer. Атака была направлена против российских организаций из разных отраслей. Исходные коды ПО размещены в открытом доступе на веб-сервисе для хранения IT-проектов GitHub (принадлежит Microsoft) и доступны всем желающим.
Также в мае эксперты «Лаборатории Касперского» предупредили о волне атак на корпоративных пользователей, в том числе в российских организациях. С помощью массовой рассылки на устройства пользователей загружался троянец-загрузчик PikaBot — новое семейство зловредов, которое на сегодняшний день применяется в основном для скрытой установки других вредоносных семейств, а также для исполнения произвольного кода командной строки, полученной с удалённого сервера.
В апреле «РТК-Солар» сообщила о том, что количество целевых атак на российские компании продолжает расти, при этом хакеры всё чаще проводят детальную киберразведку в отношении своих жертв, прежде чем нападать. В частности, растёт число сетевых атак, попыток несанкционированного доступа к корпоративным системам, атак через партнёров или подрядчиков. Большое количество утечек персональных данных, произошедших за последнее время, упростило для хакеров подготовку целевых атак.
