Киберпреступная группировка Rainbow Hyena, известная своими целенаправленными атаками на государственные структуры и объекты критической информационной инфраструктуры (КИИ) России, активизировала фишинговую кампанию. По данным экспертов по кибербезопасности, злоумышленники рассылают электронные письма, содержащие архивный файл с поддельным названием «Заказ_на_ДПЭ_225.zip». Внутри архива находится опасный файл «Заказ_на_ДПЭ_225.pdf.lnk», который маскируется под документ PDF, но фактически является ярлыком (LNK-файлом).
Описание
Механизм атаки отработан и представляет серьезную угрозу. После запуска пользователем этого LNK-файла автоматически активируется скрытый сценарий PowerShell. Пока жертве отображается безобидный документ-приманка (например, фиктивный заказ или справка), в фоновом режиме на компьютер загружается и устанавливается вредоносная программа типа бэкдор (backdoor), известная как PhantomRemote. Данный бэкдор предоставляет злоумышленникам удаленный доступ к зараженной системе, позволяя красть конфиденциальные данные, обеспечивать устойчивость (persistence) и загружать дополнительный вредоносный код (payload).
Для противодействия этой и подобным угрозам специалисты настоятельно рекомендуют организациям, особенно в госсекторе, незамедлительно усилить меры защиты. Во-первых, критически важно обеспечить проверку всех почтовых вложений с помощью современных антивирусных решений.
Во-вторых, сотрудникам необходимо тщательно проверять адрес отправителя. Следует обращать внимание на доменную часть адреса после символа «@» и сверять ее с официальными доменами организаций-партнеров. Кроме того, целесообразно вести и использовать утвержденные списки доверенных адресов электронной почты для служебной переписки, организуя получение вложений преимущественно от известных контактов.
Также важно соблюдать базовую цифровую гигиену. Не следует открывать или загружать вложения из писем, тематика которых не соответствует профессиональной деятельности организации. Наконец, одним из ключевых принципов безопасности является работа под учетными записями с минимально необходимыми привилегиями. В операционных системах Windows это можно настроить через «Панель управления» в разделе «Учетные записи пользователей». В Linux для разграничения прав доступа к файлам и каталогам традиционно используются команды "chmod", "chown" и "chgrp".
Атаки группировок, подобных Rainbow Hyena, часто относятся к категории целевых (APT, Advanced Persistent Threat) и требуют комплексного подхода к безопасности. Помимо технических мер, эффективная защита включает регулярное обучение сотрудников распознаванию фишинга, мониторинг сетевой активности с помощью систем обнаружения вторжений (IDS, Intrusion Detection System) и оперативное обновление всего программного обеспечения. Своевременное информирование и выполнение указанных рекомендаций позволяют существенно снизить риски успешного проникновения злоумышленников в корпоративную инфраструктуру.
Индикаторы компрометации
IPv4
- 31.59.41.126
URLs
- http://31.59.41.126/poll
SHA256
- 61cdb40af4a43872d4c81e21e4ab18794cf7e55e10bfc56eee454bbe5184d61f
- c3c50aaa40b230e6529aec5f1e6d83ef8af2e100681c2a572bc32d5ffc7757c1