BI.ZONE зафиксировала атаки на оборонно-промышленный комплекс и объекты критической инфраструктуры с целью шпионажа

Группировка Core Werewolf применяет фишинг и легитимное ПО, чтобы получить полный контроль над системой пользователя, копировать файлы, отслеживать его действия

8 июня 2023 г.

Цель преступников — конфиденциальная информация о российских критически важных объектах.

Сегодня у многих киберпреступников и APT‑группировок стало трендом использование легитимных средств для того, чтобы дольше оставаться незамеченными.

Пример такой группировки — Core Werewolf, которая начала деятельность не позже августа 2021 года и продолжает атаки до сих пор. Эксперты киберразведки BI.ZONE проанализировали документы, которые преступники использовали для отвлечения внимания жертв, и выяснили: основными целями шпионов стали российские организации, связанные с оборонно-промышленным комплексом и критической инфраструктурой.

Для проникновения в учреждения атакующие использовали фишинговые письма со ссылками на опасные файлы, замаскированными под документы форматов DOCX и PDF: постановления и приказы, методические пособия, служебные записки и резюме. При открытии такого файла пользователь видел заявленный документ, в то время как на его устройство в фоновом режиме устанавливалась программа UltraVNC. Это легитимное ПО, которое часто используют для удаленного подключения к компьютеру. Атакующие же таким образом получали доступ к скомпрометированному устройству.

Сегодня группы все чаще отказываются от вредоносного ПО в пользу легитимных или встроенных в операционную систему инструментов. Пример Core Werewolf в очередной раз доказывает эффективность таких методов в управляемых человеком атаках.

Олег Скулкин

Руководитель управления киберразведки BI.ZONE

Чтобы снизить риски подобных атак, необходимо выстраивать и реактивный, и проактивный подход к обнаружению киберугроз. Эксперты BI.ZONE рекомендуют защищать электронную почту специализированными решениями, которые блокируют вредоносные письма. Кроме того, необходимо наладить мониторинг событий кибербезопасности, чтобы отслеживать подозрительное поведение легальных программ.

@media only screen and (min-width: 320px) and (max-width: 428px) { .articleDetail .quote__authorName, .articleDetail .quote__text, .eventProgramm__date, .eventProgramm__title, .fs-h5, .h5, .headBlock__text, .headSection--news .headSection__text, .headSection__text, .newsDetail .quote__authorName, .newsDetail .quote__text, .participants__title, .popup__title, .sectionFullImage__text, .stepList .button, .stepList .button span, .stepList__title, .toggleBox .iconLine__title, .toggleBox__title, div.card__title, div.cFiltered__length, div.productDetail__subtitle, div.review__authorName, div.timer__title, div.toggleBox .iconLine__title, div.toggleBox__title, div.toggleEvent__bannerTitle, div.v-banner__title, h5 { font-size: 18px; line-height: 20px; } } @media only screen and (min-width: 320px) and (max-width: 428px) { .fs-h2, .h2, .headBlock h1, .headSection--1 h1, .headSection--2 h1, .headSection--4 h1, .headSection--news h1, .resultForm h1, .sectionEvents__title, .sectionExp__title, .sectionFullImage__title, .sectionProduct__title, h2 { font-size: 30px; line-height: 34px; } }