В начале октября эксперты «Лаборатории Касперского» зафиксировали целевую атаку на российские организации: злоумышленники разослали несколько сотен вредоносных писем, якобы касающихся темы частичной мобилизации, сообщает ЛК в четверг.
Данные получены на основе анонимизированной статистики срабатывания решений «Лаборатории Касперского» за октябрь 2022 года, говорится в сообщении.
В поддельных сообщениях говорится, что в связи с неполучением повестки с указанным номером человека призывают срочно явиться в назначенное место и время. Более подробная информация якобы указана в повестке в формате PDF, которую необходимо скачать по ссылке. Письмо тщательно подготовлено и выглядит правдоподобно: содержит ссылки на статьи УК РФ, геральдику и стилистику соответствующего ведомства. В тексте злоумышленники угрожали возможными штрафами и уголовной ответственностью. Такие методы характерны для фишинговых рассылок и призваны заставить пользователя действовать быстро и необдуманно.
Ссылка ведёт на архив с исполняемым скриптом с расширением WSF. Если открыть файл, то он для отвода глаз скачает и отобразит в браузере PDF-документ, имитирующий отсканированную повестку, но параллельно создаст файл AnalysisLinkManager.exe во временной папке и запустит его. Используемое вредоносное ПО и техники имеют множество сходств с активностью группы XDSpy. В частности, с версиями прошлых лет совпадают исходный код вредоносного WSF-скрипта и способы запуска, а также частично названия файлов. Цели XDSpy — шпионаж, кража документов и других файлов, а также данных для доступа к корпоративным почтовым ящикам.
«Такие атаки непросто обнаружить, поэтому компаниям важно внедрять комплексные системы защиты, а также обучать сотрудников правилам кибербезопасности», — отмечают в ЛК.
Для предотвращения целевых атак эксперты «Лаборатории Касперского» рекомендуют организациям:
- использовать комплексные решения для защиты всей инфраструктуры от кибератак любой сложности;
- применять специализированное решение, которое сочетает функции детектирования и реагирования с функциями threat hunting и позволяет распознавать известные и неизвестные угрозы без привлечения внутренних ресурсов компании;
- предоставлять команде SOC (центра мониторинга кибербезопасности) доступ к актуальной информации о киберугрозах;
- проводить тренинги для специалистов по реагированию на киберинциденты, чтобы развивать их компетенции;
- организовывать для сотрудников неспециализированных подразделений тренинги по кибербезопасности, поскольку целевые атаки часто начинаются с фишинга или других схем с использованием социальной инженерии.
