Не играйте в кальмара с оборотнями

Шпионская группировка Squid Werewolf рассылает заманчивые «предложения о работе»

10 марта 2025 г.

Характерный почерк кибергруппировок, нацеленных на шпионаж, — рассылка фишинговых писем от имени регуляторов или иных ведомств. Это связано с тем, что такие кластеры совершают атаки в основном на государственные и научно-исследовательские организации. Но злоумышленники из Squid Werewolf пошли необычным для шпионов путем, притворившись HR-менеджерами реально существующей крупной компании.

Squid Werewolf — это шпионский кластер, атакующий организации Южной Кореи, Японии, Вьетнама, России, США, Индии, ОАЭ и других стран. В конце 2024 года злоумышленники попытались атаковать одну из российских компаний. Предположив, что на компьютере одного из сотрудников может находиться ценная информация, группировка отправила жертве фишинговое письмо с предложением рассмотреть вакансию в реальной промышленной организации.

Злоумышленники хорошо подготовились к атаке и предварительно собрали полезную информацию о сотруднике. Чтобы не вызвать подозрений у жертвы, атакующие добавили во вложенный файл информацию о зарплате, обещанной в письме.

Кластер самостоятельно разработал вредоносный инструмент, а также наложил на него несколько слоев обфускации, то есть изменил код программы, чтобы ПО стало сложнее распознать. Все это затруднило обнаружение вредоносной активности.

Олег Скулкин

Руководитель BI.ZONE Threat Intelligence

Атакующие отправили жертве фишинговое письмо с ZIP-архивом, который содержал LNK-файл Предложение о работе.pdf.lnk. По задумке злоумышленников, пользователь должен открыть вложение и так запустить вредоносное ПО. С его помощью группировка получила бы доступ к чувствительным данным.

Интересно, что злоумышленники все реже используют документы Microsoft Word и Microsoft Excel. Это связано с тем, что Microsoft периодически блокирует выполнение макросов в скачанных из интернета документах. Так что теперь атакующие предпочитают архивы с исполняемыми файлами, скриптами или ярлыками.

В 2024 году 57% целевых атак на российские компании начинались именно с фишинговых писем. Защититься от них помогут решения для фильтрации нежелательной почты, например BI.ZONE Mail Security. Оно обладает высокопроизводительным ядром нашей собственной разработки и сочетает различные методы анализа email-трафика.

Быть в курсе атак и строить стратегию киберзащиты помогают данные порталов киберразведки, таких как BI.ZONE Threat Intelligence. Информация о методах и инструментах злоумышленников, а также данные с теневых ресурсов позволяют обеспечить эффективную работу СЗИ, ускорить реагирование на инциденты и защититься от наиболее серьезных для компании угроз.