Главная страница » Индикаторы компрометации
0
1 день
Индикаторы компрометации

Российские ведомства атакованы через фишинг под видом уведомлений МВД по миграции

APT

Киберпреступная группировка Paper Werewolf, известная также под названием Goffee, проводит целенаправленные атаки на российские государственные органы и организации критической информационной инфраструктуры. Как сообщают эксперты по кибербезопасности, злоумышленники используют изощренную фишинговую кампанию, маскируя свои действия под официальные запросы от Главного управления МВД России по Москве.

Описание

Атака начинается с массовой рассылки электронных писем. Тематика писем - «По вопросам миграции» - выбрана неслучайно, так как подобные запросы являются рутинными для многих госучреждений и привлекают меньше подозрений. Во вложении к письму злоумышленники прикрепляют PDF-документ с названием «187-2325.pdf». Внутри документа содержится текст, который побуждает получателя перейти по указанной ссылке для получения дополнительной информации или документов.

Переход по ссылке приводит пользователя на тщательно сфабрикованную веб-страницу. Эта страница имитирует интерфейс системы электронного документооборота МВД России. Дизайн и элементы интерфейса могут выглядеть вполне убедительно для неискушенного сотрудника. На этой фальшивой странице предлагается скачать архив с документами. Названия файлов в архиве звучат вполне официально и соответствуют миграционной тематике: «Памятка работодателю.docx» и «Уведомление о прибытии иностранного гражданина или лица без гражданства в место пребывания.xls».

Однако помимо этих документов-приманок, в архив помещен исполняемый файл с длинным, бюрократически звучащим именем: «182-1672143-01(исполнитель Васнецовский М.Д).exe». Такое название призвано вызвать доверие и восприниматься как часть служебного пакета документов. Когда пользователь запускает этот файл, на экране действительно открывается один из документов-приманок, например, таблица Excel. Это делается для отвлечения внимания и создания видимости легитимности операции.

Тем временем в фоновом режиме исполняемый файл выполняет свою истинную вредоносную функцию. На целевую систему тайно устанавливается так называемый загрузчик (loader). Этот тип вредоносного программного обеспечения сам по себе может не наносить непосредственного ущерба. Его главная задача - обеспечить устойчивость (persistence) в системе и загрузить основной зловредный модуль. Загрузчик действует как троянский конь, открывая скрытый канал для последующей доставки более опасных инструментов, таких как шпионские программы, шифровальщики или средства удаленного доступа.

Группировка Paper Werewolf (Goffee) известна экспертам и относится к категории APT. Это указывает на высокий уровень профессионализма, долгосрочные цели и использование сложных методов атак. Их фокус на государственные структуры и объекты КИИ позволяет предположить, что конечными целями могут быть хищение конфиденциальной информации, шпионаж или дестабилизация работы важных систем.

Данная кампания демонстрирует несколько тревожных тенденций в киберпространстве. Во-первых, злоумышленники активно используют социальную инженерию, эксплуатируя доверие к официальным органам, в данном случае к МВД. Во-вторых, применяется многоэтапная атака, где фишинг - лишь начальный вектор для проникновения. В-третьих, тщательная маскировка как писем, так и вредоносных файлов под легитимные документы значительно повышает вероятность успеха.

Специалисты рекомендуют сотрудникам, особенно в государственных учреждениях, проявлять повышенную бдительность. Необходимо тщательно проверять адреса отправителей писем, даже если тема кажется знакомой. Следует обращать внимание на несоответствия в доменных именах сайтов. Крайне важно никогда не запускать исполняемые файлы (.exe), полученные из непроверенных источников, даже если они вложены в архив с обычными документами. Регулярное обновление антивирусного программного обеспечения и проведение тренингов по киберграмотности для персонала остаются ключевыми мерами защиты.

Подобные инциденты подчеркивают, что угрозы информационной безопасности становятся все более изощренными и целенаправленными. Борьба с ними требует не только технологических решений, но и постоянного повышения осведомленности пользователей, которые зачастую оказываются самым уязвимым звеном в системе защиты.

Индикаторы компрометации

Domains

  • combibox.net
  • pundy.org

URLs

  • https://combibox.net/gravitated/larva/commends/lambswool/potted
  • https://pundy.org/deliberation/corslet/posterior/flavourings/eavesdroppers

SHA256

  • c45905101c29be2993dfaf98752df6def0ac47dd4c4a732d4bfdc8c4f002b6f1
  • ee17de2e428b9cf80e25aeaa3272bd8516c9115f0733baec56014f6d3232b61a
Комментарии: 0
Похожие записи
0
22.08.2025
Индикаторы компрометации

Paper Werewolf атакует российские организации через уязвимости в WinRAR

APT
В июле 2025 года эксперты BI.ZONE Threat Intelligence обнаружили серию целевых атак на российские организации, проводимых группировкой Paper Werewolf (также известной как GOFFEE).
0
05.06.2025
Индикаторы компрометации

GOFFEE возвращается: новые методы атак и способы защиты

security
В последние годы группировка GOFFEE (также известная как Paper Werewolf) неоднократно привлекала внимание экспертов по кибербезопасности. В конце мая 2025 года специалисты МТС RED Security SOC зафиксировали
0
12.08.2025
Безопасность

Уязвимость в WinRAR эксплуатировалась двумя хакерскими группами в целевых атаках

information security
Компания WinRAR выпустила критическое обновление для устранения опасной уязвимости в своем популярном архиваторе, которая уже активно использовалась двумя разными группами киберпреступников в целевых атаках