Атака под прикрытием: около 85% фишинговых сообщений маскируют под финансовые документы и письма государственных органов

По нашим данным, в 2023 году с фишинговых рассылок начиналось 68% атак на компании России и других стран СНГ. В первом полугодии 2024 года этот показатель вырос до 76%

25 июля 2024 г.

79% фишинга злоумышленники маскируют под финансовую документацию, например счета и платежные документы. 8% фишинговых писем мимикрируют под договоры и соглашения, а 5% — под резюме. Еще 4% фишинговых рассылок приходит в компании стран СНГ под видом сообщений от регуляторов.

Фишинговые письма, отправленные якобы от лица государственных органов, нередко отличаются высоким уровнем юридической грамотности и содержат ссылки на официальные сайты государственных организаций. Так злоумышленники стараются усыпить бдительность пользователей. Наряду с этим мошенники могут использовать редкое ВПО, которое сложно распознать с помощью стандартных инструментов. Это повышает вероятность того, что атакующий проникнет в инфраструктуру незамеченным, успеет в ней закрепиться и нанести серьезный ущерб.

Эти тренды прекрасно иллюстрирует недавняя серия атак на компании Казахстана. Группировка Bloody Wolf не просто рассылала жертвам очень правдоподобные фишинговые письма от имени регуляторов, но и размещала свои вредоносные программы на домене, который имитировал сайт одной из государственных структур Республики Казахстан. Под видом официального документа жертва скачивала с домена вредоносный JAR‑файл. Такие файлы используются злоумышленниками нечасто, что позволяет им успешно обойти некоторые средства защиты.

Олег Скулкин

Руководитель BI.ZONE Threat Intelligence

PDF‑файл во вложении письма от Bloody Wolf достоверно имитировал официальное уведомление о необходимости устранить нарушения. Кроме ссылок на вредоносные файлы, документ содержал инструкции по установке интерпретатора Java, который необходим для работы ВПО. Еще одна ссылка вела на легитимный сайт госоргана Республики Казахстан, где также опубликована такая инструкция: Java обеспечивает корректную работу государственного портала.

Вредоносная программа представляла собой коммерческий троян STRRAT, также известный как Strigoi Master. Он позволяет злоумышленнику удаленно выполнять команды на скомпрометированном компьютере, управлять файлами и браузерами, перехватывать нажатия клавиш и т. д. Функциональные особенности Strigoi Master принципиально не отличаются от возможностей аналогичных средств удаленного доступа. Преимущество данного ВПО в том, что его сложнее распознать из‑за использования редких типов файлов.

Bloody Wolf не первая группировка, которая использует для атак на компании стран СНГ фишинг, замаскированный под сообщения от госорганов. Похожие схемы применяли Scaly Wolf для атак на российские промышленные и логистические компании, Mysterious Werewolf — на предприятия ВПК, а Sticky Werewolf — на государственные организации России и Беларуси.

В атаках, подобных тем, которые реализовывал кластер Bloody Wolf, важно не только обнаружить попытку проникновения в сеть, но и вовремя отреагировать на нее. Решения для защиты конечных точек от сложных угроз, например BI.ZONE EDR, помогут отследить атаку на ранних этапах и оперативно принять меры в автоматическом режиме либо с помощью команды кибербезопасности.

Ускорить реагирование на инциденты, защититься от наиболее критичных для компании угроз и повысить эффективность работы СЗИ могут помочь данные порталов киберразведки, например BI.ZONE Threat Intelligence. Они предоставляют подробную информацию об актуальных атаках, злоумышленниках, их техниках и инструментах.