Rare Wolf маскирует вредоносные письма под накладные «1С:Предприятие»

Одной из целей злоумышленников был доступ к телеграм-аккаунтам сотрудников российских компаний

29 ноября 2023 г.

Группировка активна с 2019 года и также атаковала компании из стран ближнего зарубежья.

Злоумышленники рассылали фишинговые письма, замаскированные под уведомления об оплате. К каждому письму прилагался архив, в котором якобы находились накладная «1С:Предприятие» и электронный ключ для доступа к ней. На самом деле внутри архива был файл с расширением .scr.

После открытия файла на компьютер жертвы загружалось несколько архивов с инструментами. С их помощью злоумышленники собирали все документы, которые были на диске скомпрометированной системы, извлекали сохраненные пароли из браузера и копировали папку мессенджера Telegram. В этой папке среди прочего содержался зашифрованный ключ, который позволял преступникам зайти в скомпрометированную учетную запись без авторизации и незаметно для жертвы контролировать всю переписку и пересылаемые файлы. Новые сессии при этом не фиксировались в истории активностей.

Вся информация, которую удавалось собрать злоумышленникам, отправлялась на подконтрольный им электронный адрес. Причем применялась утилита, позволяющая сделать это с использованием командной строки.

Затем в скомпрометированную систему устанавливалась программа Mipko Employee Monitor. Это легитимное программное обеспечение для мониторинга действий сотрудников, которое чаще всего используют корпоративные службы безопасности. Однако злоумышленники применяли его, чтобы перехватывать нажатия клавиш и логи буфера обмена, делать скриншоты и снимки с камеры устройства.

Злоумышленники продолжают использовать для атак легитимные инструменты. Это не только дает им возможность обойти многие средства защиты, но и позволяет долгое время оставаться незамеченными в скомпрометированной инфраструктуре, фактически слиться с ней. Важно понимать, что разработчики и поставщики легитимного ПО не несут ответственности за нецелевое и незаконное использование их решений.

Олег Скулкин

Руководитель BI.ZONE Threat Intelligence

Фишинговая рассылка — один из самых распространенных способов получить первоначальный доступ в ходе целевых атак. Чтобы защититься от нее, следует использовать специализированные решения, которые блокируют спам и вредоносные письма, например BI.ZONE CESP.

Эффективно реагировать на новые угрозы помогут сервисы непрерывного мониторинга IT‑инфраструктуры, такие как BI.ZONE TDR. Они позволяют оперативно распознать продвинутые атаки и нейтрализовать угрозы.

Также важно обучать сотрудников киберграмотности. В частности, не рекомендуется использовать Telegram и прочие мессенджеры для пересылки любых материалов, связанных с коммерческой тайной, персональными данными и другой чувствительной информацией.