Группировка NGC6061 атакует госорганы России через фишинг с архивом и вредоносными ярлыками

Вложения в таких письмах представляют собой запароленный архив. При его открытии и вводе пароля, который также указан в письме, пользователь обнаруживает два файла: документ-приманку с именем «1.docx» и файл-ярлык с расширением «.lnk». Документ, вероятно, содержит легитимную или правдоподобную информацию для отвлечения внимания. Однако реальную угрозу несет именно ярлык. При его запуске неопытным пользователем на компьютер жертвы в фоновом режиме загружается и исполняется вредоносная полезная нагрузка (payload).

Эксперты идентифицировали эту нагрузку как инструменты для создания обратного подключения (Reverse Shell), в частности, вариант Metasploit TCP Reverse. Данный тип вредоносного программного обеспечения позволяет злоумышленнику установить удаленный контроль над скомпрометированной системой. После успешного внедрения атакующие получают возможность выполнять команды, красть данные, перемещаться по сети и закрепляться в системе (обеспечивать persistence) для долгосрочного шпионажа или подготовки к более масштабным атакам.

Использование файлов-ярлыков (.lnk) является классическим, но по-прежнему эффективным методом обхода базовых средств защиты. Такой файл может быть сконфигурирован для запуска скрытых команд, например, загрузки и выполнения вредоносного кода с удаленного сервера, что и происходит в данной кампании. При этом файл документа служит лишь приманкой, создавая видимость безобидного вложения.

Целевой характер атак указывает на то, что NGC6061, вероятно, является профессиональной группировкой, возможно, связанной с APT (Advanced Persistent Threat, рус. - продвинутая постоянная угроза). Их интерес к государственным органам и критической инфраструктуре позволяет предположить мотивы, связанные со шпионажем, сбором конфиденциальной информации или стратегической разведкой. Подобные кампании часто предшествуют более разрушительным действиям.

Специалисты рекомендуют сотрудникам государственных учреждений и компаний критической информационной инфраструктуры проявлять повышенную бдительность. Во-первых, необходимо тщательно проверять адреса отправителей даже знакомых писем. Во-вторых, стоит воздерживаться от открытия вложений, особенно архивов с паролями, из непроверенных источников. В-третьих, важно регулярно обновлять операционные системы и антивирусное программное обеспечение. Кроме того, использование средств защиты конечных точек (Endpoint Detection and Response, EDR) и обучение сотрудников основам кибергигиены могут значительно снизить риски успешного фишинга.

Российские центры реагирования на компьютерные инциденты (CERT) и регуляторы, вероятно, уже выпустили или готовят технические рекомендации по обнаружению и блокировке данной угрозы. Организациям следует отслеживать эти предупреждения и применять соответствующие сигнатуры в своих системах обнаружения вторжений (IDS) и предотвращения вторжений (IPS). Инциденты, связанные с подобными атаками, необходимо незамедлительно расследовать, в идеале - с привлечением специалистов из Security Operations Center (SOC, Центр управления информационной безопасностью).

Данная кампания наглядно демонстрирует, что, несмотря на развитие сложных кибератак, фишинг остается одним из самых результативных векторов первоначального проникновения. Сочетание социальной инженерии и простых технических приемов продолжает приносить злоумышленникам успех, особенно когда атаки носят целевой и хорошо подготовленный характер. Борьба с такими угрозами требует комплексного подхода, сочетающего технологические меры защиты и постоянное повышение осведомленности пользователей.

Emails

• belova.marie@yandex.ru
• LapshinnKN@yandex.ru
• Lyubimova.A13@yandex.ru
• ustinova.fathima@yandex.ru
• volkov.maksim01@yandex.ru
• volkov.nn@rambler.ru
• volkovasi@rambler.ru