BI.ZONE: группировка Rare Wolf маскирует вредоносные письма под накладные «1С:Предприятие»

Специалисты BI.ZONE Threat Intelligence обнаружили группировку Rare Wolf, которая использует фишинг и легитимное ПО для атак на российские организации. Одной из целей злоумышленников был доступ к телеграм-аккаунтам сотрудников компаний. Группировка активна с 2019 года и также совершала атаки на компании из стран ближнего зарубежья.

Злоумышленники рассылали фишинговые письма, замаскированные под уведомления об оплате. К каждому письму прилагался архив, в котором якобы находились накладная «1С:Предприятие» и электронный ключ для доступа к ней. На самом деле внутри архива был файл с расширением .scr.

После открытия файла на компьютер жертвы загружалось несколько архивов с инструментами. С их помощью злоумышленники собирали все документы, которые были на диске скомпрометированной системы, извлекали сохраненные пароли из браузера и копировали папку мессенджера Telegram. В этой папке среди прочего содержался зашифрованный ключ, который позволял преступникам зайти в скомпрометированную учетную запись без авторизации и незаметно для жертвы контролировать всю переписку и пересылаемые файлы. Новые сессии при этом не фиксировались в истории активностей.

Вся информация, которую удавалось собрать злоумышленникам, отправлялась на подконтрольный им электронный адрес. Причем применялась утилита, позволяющая сделать это с использованием командной строки.

Затем в скомпрометированную систему устанавливалась программа Mipko Employee Monitor. Это легитимное программное обеспечение для мониторинга действий сотрудников, которое чаще всего используют корпоративные службы безопасности. Однако злоумышленники применяли его, чтобы перехватывать нажатия клавиш и логи буфера обмена, делать скриншоты и снимки с камеры устройства.

Олег Скулкин, руководитель BI.ZONE Threat Intelligence, отметил: «Злоумышленники продолжают использовать для атак легитимные инструменты. Это не только дает им возможность обойти многие средства защиты, но и позволяет долгое время оставаться незамеченными в скомпрометированной инфраструктуре, фактически слиться с ней. Важно понимать, что разработчики и поставщики легитимного ПО не несут ответственности за нецелевое и незаконное использование их решений».

Фишинговая рассылка — один из самых распространенных способов получить первоначальный доступ в ходе целевых атак. Чтобы защититься от нее, следует использовать специализированные решения, которые блокируют спам и вредоносные письма. Эффективно реагировать на новые угрозы помогут сервисы непрерывного мониторинга IT-инфраструктуры: они позволяют оперативно распознать продвинутые атаки.

Также важно обучать сотрудников киберграмотности. В частности, не рекомендуется использовать Telegram и прочие мессенджеры для пересылки любых материалов, связанных с коммерческой тайной, персональными данными и другой чувствительной информацией.