Российские органы государственной власти и предприятия критической информационной инфраструктуры стали целью новой фишинговой кампании. Злоумышленники рассылают электронные письма, искусно замаскированные под официальные уведомления о судебных документах. По данным экспертов по кибербезопасности, основная цель атак - хищение конфиденциальных данных с помощью вредоносного ПО типа похититель информации (stealer).
Описание
В рамках этой кампании сотрудники целевых организаций получают письма, якобы содержащие судебные документы. Во вложении находится исполняемый файл с длинным, но правдоподобным названием: «Исковое_заявление_о_взыскании_убытков_и_морального_вреда_в_связи_с_нарушением_условий_договора_№1234_от_28_августа.exe». Использование такой детализированной маскировки значительно повышает шансы на успешную социальную инженерию. В частности, получатель, ожидающий юридическую корреспонденцию, с большей вероятностью откроет вложение.
После запуска файла на компьютер жертвы внедряется вредоносная программа, идентифицированная как MarkerStealer. Этот тип "стилера" предназначен для скрытого сбора и передачи злоумышленникам широкого спектра данных. В зону риска попадают сохранённые в браузерах логины и пароли, история посещений, файлы cookies, данные банковских карт, а также содержимое системного буфера обмена. Более того, такие программы часто обладают функционалом для кражи файлов определённых расширений и снимков экрана.
Выбор целей - государственные структуры и субъекты КИИ (критической информационной инфраструктуры) - указывает на возможную политическую или экономическую мотивацию атакующих группировок. Похищенные учетные данные и внутренние документы могут быть использованы для шпионажа, дестабилизации работы или подготовки более масштабных и целенаправленных атак. Эксперты отмечают, что подобные кампании часто являются первой ступенью в цепочке сложной компрометации.
Данный инцидент демонстрирует классический, но оттого не менее эффективный метод. Фишинг, использующий тему юридических документов, остаётся одним из самых популярных векторов первоначального проникновения. Злоумышленники эксплуатируют психологический фактор срочности и авторитетности, связанный с судебной системой. Сотрудники, особенно в напряжённой рабочей среде, могут действовать рефлекторно, не подвергая сомнению подлинность такого письма.
Для защиты от подобных угроз специалисты настоятельно рекомендуют усилить меры кибергигиены. Во-первых, необходимо проводить регулярное обучение сотрудников, фокусируясь на примерах современных фишинговых писем. Следует выработать правило никогда не открывать вложения из непроверенных источников, даже если тема выглядит срочной. Во-вторых, важно внедрять технические средства контроля. Эффективными могут быть почтовые фильтры, блокирующие исполняемые файлы в виде вложений, и системы класса IDS/IPS (системы обнаружения и предотвращения вторжений).
Кроме того, критически важно применять принцип минимальных привилегий. Пользователи не должны работать в системе с правами администратора для повседневных задач. Это может существенно ограничить потенциал вредоносного ПО даже в случае его запуска. Регулярное обновление операционных систем и антивирусного ПО также является базовой, но обязательной практикой.
Текущая ситуация подчёркивает сохраняющуюся актуальность угроз, нацеленных на человеческий фактор. В ответ на это организациям необходимо выстраивать многоуровневую защиту, сочетающую технологические решения и постоянную работу с персоналом. Только комплексный подход позволяет противостоять изощрённым методам социальной инженерии, которые используют современные киберпреступные группировки. Бдительность и осведомлённость каждого сотрудника становятся ключевым элементом общей безопасности.
Индикаторы компрометации
SHA256
- 81f3f35ae59e2c7af23133512f36f6734e088d8f58d0f64b0e814e05b43be7eb
- ae1e9595fd95835bda454f0de99bd55bbb80835e5e016274dde2af12528f145d
