Группировка киберпреступников, известная под названием Fairy Wolf, активизировала кампанию целевых фишинговых атак на органы государственной власти и субъекты критической информационной инфраструктуры (КИИ) Российской Федерации. По данным экспертов по информационной безопасности, злоумышленники используют тщательно продуманную социальную инженерию, рассылая электронные письма с темой, имитирующей официальный документооборот: «Исходящий № 112ОП-23 от 01.09.2025».
Описание
Механика атаки классическая, но оттого не менее эффективная. Во вложении к письму злоумышленники прикрепляют архив с названием «ИСХ № 112ОП-23 от 01.09.2025.zip». Внутри него находится файл «ИСХ № 112ОП-23 от 01.09.2025.hta». Именно этот файл является точкой входа для вредоносного ПО. Расширение .hta (HTML Application) позволяет выполнять сценарии, маскируясь под безобидный документ. После запуска пользователем этот файл активирует цепочку заражения.
Первым делом исполняется вредоносный VBS-скрипт, который подготавливает почву для основной полезной нагрузки . Финальной целью атаки является внедрение на компьютер-жертву специализированного вредоносного ПО типа «стилер» - Unicorn Stealer. Данная программа-похититель предназначена для кражи конфиденциальных данных. Обычно такие стилеры собирают сохраненные в браузерах пароли, cookies, данные банковских карт, историю посещений, а также файлы с жесткого диска, представляющие интерес для злоумышленников. Утечка подобной информации из систем государственных органов или организаций КИИ может привести к серьезным последствиям, включая шпионаж и компрометацию критических процессов.
Выбор цели - государственные структуры и субъекты КИИ - указывает на целенаправленный и, вероятно, мотивированный характер атаки. Группировка Fairy Wolf, судя по всему, стремится получить доступ к конфиденциальной или служебной информации. Эксперты отмечают, что подобные атаки часто становятся первым этапом более масштабной операции, например, для закрепления в системе (persistence) и последующего продвижения по корпоративной сети.
Для предотвращения успешной реализации подобных угроз специалисты настоятельно рекомендуют организациям, особенно в госсекторе, незамедлительно реализовать комплекс защитных мер. Ключевые действия должны быть направлены на повышение осведомленности пользователей и усиление технической защиты. Во-первых, необходимо проводить регулярный инструктаж сотрудников о правилах кибергигиены, уделяя особое внимание опасности открытия вложений из непроверенных источников, даже если письмо выглядит официальным. Следует обращать внимание на мелкие детали, такие как адрес отправителя и несоответствия в оформлении.
Во-вторых, на техническом уровне критически важно использовать современные системы защиты. Это включает фильтрацию входящей почты с помощью антивирусных решений и песочниц (sandbox), блокировку исполняемых файлов и скриптов (включая .hta) из вложений электронной почты, а также своевременное обновление всего программного обеспечения для устранения известных уязвимостей. Кроме того, применение принципа наименьших привилегий для учетных записей пользователей может ограничить потенциальный ущерб от запуска вредоносного кода.
Текущая кампания Fairy Wolf - это очередное напоминание о том, что фишинг остается одним из самых распространенных и опасных векторов кибератак. Злоумышленники постоянно совершенствуют свои методы, делая рассылки все более персонализированными и правдоподобными. В условиях, когда целью становятся критически важные объекты, только многоуровневая защита, сочетающая технологические решения и человеческий фактор, может эффективно противостоять угрозам. Организациям рекомендуется проанализировать свои процедуры реагирования на инциденты и убедиться в готовности к отражению атак подобного рода.
Индикаторы компрометации
SHA256
- 58cb74938a300e540afbfbed39fb1cddf0c288c10d6caa1222f9171ffe475595
- b9f2e0fef1549221cb6ec47082db83c5ad09f81492e420b4145b1ce72ee48890
