Акты на подпись: новая фишинговая волна группировки Fairy Wolf атакует российские госорганы и КИИ

Как сообщается, злоумышленники рассылают письма с тематикой «Акты на подпись». Подобная тема призвана снизить бдительность сотрудников, поскольку выглядит как рутинный рабочий документооборот. Во вложениях к этим письмам прикреплен архивный файл с названием «Акты (ПАРОЛЬ 777).rar». Использование пароля для архива, по мнению аналитиков, является уловкой для обхода базовых систем безопасности, которые иногда не проверяют запароленные архивы.

Внутри архива находится исполняемый файл, замаскированный под документ. Его наименование - «Akt_Sverka_1C_Doc_28112023_PDF.com» - имитирует файл сверки в популярной бухгалтерской системе 1С, сохраненный в формате PDF. Критически важно отметить, что настоящее расширение файла - .com, что выдает исполняемый тип, а не документ. Однако на фоне доверия к теме письма и привычки к частому обмену подобными файлами пользователь может совершить роковую ошибку.

После запуска пользователем этого файла на его компьютере разворачивается многоступенчатая вредоносная активность. Первым делом, по данным исследователей, происходит скрытая установка легитимного программного обеспечения для удаленного администрирования (RAT) под названием «Remote Utilities». Этот инструмент сам по себе не является вредоносным и широко используется системными администраторами для легального удаленного управления компьютерами. Однако его установка злоумышленниками позволяет получить полный контроль над зараженной системой, наблюдать за действиями пользователя, красть файлы и использовать компьютер как плацдарм для дальнейшего продвижения по корпоративной сети.

Параллельно с установкой RAT на компьютер жертвы внедряется специализированное вредоносное программное обеспечение типа «стилер» (stealer), известное как Meta Stealer. Основная задача такого софта - кража конфиденциальных данных. Как правило, стилеры целенаправленно ищут и извлекают сохраненные в браузерах пароли, cookie-файлы, данные банковских карт, криптокошельки и другую ценную информацию. В контексте атаки на государственные структуры и КИИ это может привести к утечке служебных учетных данных, ключей доступа к внутренним системам и иной критически важной информации.

Использование связки легитимного инструмента удаленного доступа и специализированного стилера говорит о продуманности атаки. Remote Utilities обеспечивает группировке Fairy Wolf долговременное присутствие в системе и возможности для разведки, в то время как Meta Stealer быстро собирает конкретные данные для возможной монетизации или использования в следующих атаках. Подобная тактика соответствует поведению современных APT-групп (Advanced Persistent Threat - сложная постоянная угроза), которые нацелены на длительный сбор информации.

Данная кампания подчеркивает сохраняющуюся высокую эффективность социальной инженерии, особенно при атаках на госсектор. Несмотря на повышение осведомленности, тщательно составленное письмо, эксплуатирующее рутинные рабочие процессы, по-прежнему способно обойти технические средства защиты. Эксперты рекомендуют организациям, особенно из сферы КИИ и государственного управления, усилить тренинг сотрудников по киберграмотности, обращая особое внимание на проверку расширений файлов и отправителей писем, даже если тема выглядит знакомой и безобидной. Также критически важно ограничивать права пользователей на установку программного обеспечения и применять принцип минимальных привилегий, что может заблокировать или существенно затруднить установку таких инструментов, как Remote Utilities.

Domains

• bussines-a.ru

SHA256

• 3aaa68af37f9d0ba1bc4b0d505b23f10a994f7cfd9fdf6a5d294c7ef5b4c6a6a
• 794d27b8f218473d51caa9cfdada493bc260ec8db3b95c43fb1a8ffbf4b4aaf7