Киберпреступная группировка Vengeful Wolf, известная своей целенаправленной деятельностью против органов государственной власти и субъектов критической информационной инфраструктуры (КИИ) России, активизировала фишинговую кампанию. Злоумышленники рассылают электронные письма, маскирующиеся под направление платежных документов. Основной целью атак, по данным экспертов по информационной безопасности, является заражение систем вредоносным программным обеспечением (ПО) для удаленного доступа.
Описание
Метод атаки отражает классические фишинговые техники, но с элементами социальной инженерии, рассчитанными на российский бюрократический документооборот. Письма содержат вложение - архивный файл с названием «1.zip». Внутри архива злоумышленники размещают два файла. Первый - документ-приманка «Oбразeц.rtf», который, по всей видимости, должен отвлечь внимание или создать видимость легитимности содержимого. Второй файл представляет непосредственную угрозу. Он замаскирован под бухгалтерский документ с именем «Aкт cвepки взaимopacчeтoв пo cocтoянию нa 28.05.2025 гoдa.scr».
Ключевым элементом атаки является расширение этого файла - .scr. Несмотря на то, что имя файла имитирует текстовый документ, расширение .scr соответствует формату исполняемого файла-заставки (screensaver) в операционных системах Windows. Запуск такого файла приводит не к открытию документа, а к выполнению вредоносного кода. В данном случае, как установили аналитики, исполняемый файл является носителем трояна удаленного доступа (Remote Access Trojan, RAT) под названием Revenge RAT.
Данный тип вредоносного ПО, часто именуемый просто «троянец», предоставляет злоумышленникам практически полный контроль над зараженным компьютером. После успешной инсталляции Revenge RAT может обеспечивать так называемую устойчивость (persistence) в системе, скрытно загружать и выполнять дополнительный вредоносный код (payload), красть конфиденциальные данные, вести наблюдение через веб-камеру или микрофон, а также служить точкой входа для дальнейшего продвижения по корпоративной сети. Использование Revenge RAT, известного инструмента в арсенале различных хакерских групп, указывает на стремление Vengeful Wolf к скрытному и долгосрочному шпионажу.
Целевой характер кампании не вызывает сомнений. Выбор названий файлов, отсылающих к финансовой и отчетной документации с указанием конкретной будущей даты (28.05.2025), явно рассчитан на сотрудников финансовых и административных отделов государственных учреждений и компаний КИИ. Подобные поддельные документы могут восприниматься получателями как срочные или рутинные, что увеличивает вероятность их открытия без должной проверки.
Угроза со стороны группировок типа Vengeful Wolf требует от организаций, особенно работающих в сфере государственного управления и критической инфраструктуры, повышенных мер бдительности. Специалисты рекомендуют усилить обучение сотрудников по распознаванию фишинговых писем, обращая особое внимание на расширения вложенных файлов. Никогда не стоит запускать исполняемые файлы (.exe, .scr, .bat и др.), полученные из непроверенных источников, даже если их имя выглядит как документ.
Кроме того, критически важно поддерживать актуальное состояние антивирусного ПО и систем обнаружения вторжений (IDS). Регулярное резервное копирование данных и сегментация сетей могут помочь минимизировать ущерб в случае успешного проникновения. Инциденты, связанные с подобными письмами, необходимо незамедлительно сообщать в службы информационной безопасности для проведения расследования и предотвращения потенциального распространения угрозы. Текущая кампания Vengeful Wolf служит очередным напоминанием, что человеческий фактор часто остается самым уязвимым звеном в системе киберзащиты, а социальная инженерия - мощным оружием в руках злоумышленников.
Индикаторы компрометации
URLs
- http://myhost.misecure.com:881
MD5
- 37a5b97e99c1d2c9bc5500c500c7c79b
SHA256
- 076b3df9788897d11ff9a46c689652719a5ae41ab4b049daa91424c2a7f1faf7
