17 марта 2023 г.

Эксперты «Лаборатории Касперского» предупредили о новой вредоносной рассылке по компаниям в России. Среди сообщений попадаются письма якобы от официальных ведомств страны. Согласно легенде злоумышленников, из-за ошибок в электронной базе данных получатель должен проверить правильность информации о сотрудниках. Вероятно, цель атакующих — шпионаж, кража документов или данных для доступа к корпоративным почтовым ящикам. Используемые зловреды и техники имеют множество сходств с теми, которые применяет в своих атаках группа XDSpy.

Рассылка началась утром 13 марта. За четверо суток эксперты «Лаборатории Касперского» обнаружили несколько сотен подобных писем*. Злоумышленники просят сверить данные о сотрудниках якобы из базы ведомства. Под видом вложенного списка рассылается вредоносное ПО. В сообщении утверждается, что обновлённую информацию нужно направить срочно, иначе получатель рискует быть привлечённым к административной ответственности. Среди основных адресатов — сотрудники кадровых и финансовых отделов. Однако, как предупреждают специалисты, такое письмо может прийти на любой корпоративный адрес.

15 марта была заблокирована ещё одна волна рассылки с теми же признаками. В ней злоумышленники пугали получателя уголовной статьёй в связи с неким денежным переводом и предлагали перейти по ссылке, чтобы узнать подробности «дела». Ссылка также была вредоносной.

Для рассылки злоумышленники регистрируют домены, которые похожи на легитимные файловые хостинги. Если пользователь попытается посмотреть заявленный в письме список, распакует скачавшийся архив и откроет файл, то при помощи командной строки запустится вредоносный код, и атака продолжится.

Пример письма

«В скачиваемом по ссылке архиве два файла. Один из них — ярлык, название которого соответствует описанию в тексте письма (например, Spisok_No_658.lnk). Второй — текстовый, с вредоносным кодом. Он назван Thumbs.db, как и служебный файл в операционных системах Microsoft, который используется для хранения эскизов содержащихся в папке изображений. Если попытаться открыть этот якобы список, то автоматически запустится второй файл, атака продолжится», — предупреждает Виктория Власова, эксперт по кибербезопасности «Лаборатории Касперского».

«Сами письма хотя и выглядят правдоподобно — содержат подпись и адрес отправителя — написаны довольно небрежно, с ошибками. Более того, внимательный пользователь заметит, что приходят они с домена, не имеющего отношения к заявленной организации, — добавляет Андрей Ковтун, руководитель группы защиты от почтовых угроз „Лаборатории Касперского“. — В целом рассылка похожа на ту, что мы видели в октябре прошлого года, когда шла волна писем с поддельными повестками в военкомат: используется почтовая программа Thunderbird; формат письма, внешний вид ссылок и имена доменов тоже похожи; отправка, как и тогда, осуществляется с доменов не из зоны ru».

Для предотвращения целевых атак эксперты «Лаборатории Касперского» рекомендуют организациям:

  • использовать комплексные решения для защиты всей инфраструктуры от кибератак любой сложности;
  • применять специализированное решение, которое сочетает функции детектирования и реагирования с функциями threat hunting и позволяет распознавать известные и неизвестные угрозы без привлечения внутренних ресурсов компании;
  • предоставлять команде SOC (центра мониторинга кибербезопасности) доступ к актуальной информации о ландшафте киберугроз — специализированным отчётам с такими данными;
  • проводить тренинги для специалистов по реагированию на киберинциденты, чтобы развивать их компетенции;
  • организовывать для сотрудников неспециализированных подразделений обучение базовым навыкам ИБ, поскольку целевые атаки часто начинаются с фишинга или других схем с использованием социальной инженерии.

* Данные на основе анонимизированной статистики срабатывания решений «Лаборатории Касперского» в середине марта 2023 года.

Источник: Пресс-служба компании «Лаборатория Касперского»