Российские органы государственной власти и субъекты критической информационной инфраструктуры (КИИ) столкнулись с новой волной целенаправленных фишинговых атак. По данным экспертов по информационной безопасности, злоумышленники рассылают электронные письма, содержащие запароленные архивы. В качестве приманки используются документы, стилизованные под официальную переписку.
Описание
Типичное письмо содержит архив с названием, имитирующим исходящий номер и дату, например, «Исх №17-2_9_Д-2785 от 08.09.2025г.7z». Пароль для его открытия, как правило, указан в теле самого письма. Это старый, но по-прежнему эффективный трюк, который обходит базовые почтовые фильтры, неспособные проверить содержимое защищённого архива. После открытия архива пользователь обнаруживает два файла.
Первый файл маскируется под PDF-документ с похожим официальным названием, но на самом деле является исполняемым («.exe»). Его имя «Исх №17-2_9_Д-2785 от 08.09.2025г.pdf.exe» использует двойное расширение. Второй файл, «Приложение.xlsx.xlsx», является документом-приманкой, который может содержать нейтральную или интригующую информацию, чтобы отвлечь внимание от подозрительного исполняемого файла. Основная цель - заставить пользователя запустить этот исполняемый файл.
После запуска вредоносная программа (malware) начинает свою работу. На целевой компьютер загружается и внедряется так называемый «стилер» (stealer) - вредоносное ПО, предназначенное для кражи конфиденциальных данных. В данном случае злоумышленники используют известный троянец Lumma Stealer. Этот стилер способен похищать сохранённые в браузерах пароли, cookie-файлы, данные банковских карт, криптовалютные кошельки и информацию из мессенджеров.
Собранные данные затем отправляются на серверы, контролируемые хакерами. Полученные учётные записи и сессии могут быть использованы для дальнейшего проникновения в корпоративные сети, доступа к внутренним системам или проведения целевых атак. Особую опасность представляет компрометация рабочих аккаунтов сотрудников госорганов и объектов КИИ.
Специалисты связывают эту кампанию с деятельностью англоязычных хакерских группировок, вероятно, имеющих политическую или финансовую мотивацию. Использование запароленных архивов и двойных расширений указывает на достаточно высокий уровень подготовки атакующих. Эти методы направлены на обход технических средств защиты и эксплуатацию человеческого фактора.
Для противодействия таким угрозам эксперты рекомендуют усилить обучение сотрудников по основам кибергигиены. Сотрудникам необходимо обращать внимание на адреса отправителей, не открывать вложения из непроверенных источников и всегда проверять расширения файлов, включив их отображение в системе. Кроме того, критически важно не использовать один и тот же пароль для открытия вложения и для своих рабочих учётных записей.
На организационном уровне необходимо внедрять комплексные решения безопасности, включая продвинутые системы фильтрации почты, способные анализировать содержимое архивов, и EDR-решения (Endpoint Detection and Response - обнаружение и реагирование на конечных точках) для оперативного выявления подозрительной активности на компьютерах. Регулярное обновление антивирусных баз и операционных систем также остаётся обязательной мерой защиты.
Данный инцидент в очередной раз подчёркивает, что фишинг остаётся одним из самых распространённых и опасных векторов кибератак. При этом злоумышленники постоянно совершенствуют свои методы социальной инженерии, делая письма всё более правдоподобными. Безопасность в цифровой среде требует постоянной бдительности как со стороны технических специалистов, так и от каждого пользователя.
Индикаторы компрометации
IPv4
- 184.30.131.245
- 40.127.240.158
- 40.79.167.8
- 94.226.121.193
SHA256
- 345054ea74e4bc16c3bd7c2026ffeb450c8716a42084da168850ec7fbe49aa12
- 5cbf2892cf825e829d4d3b569abf175562cc8e1be24cc179f71b1a25c9594eb1
- 66ff0b9b6bc903d0fc95eeddf5c3355b49698e10f50e144c56a0acc260553c71
- ce8b8634c1722514f6e5ef7eab6e780de7f2fd004bca2865f0ed719a46b95224
