25.10.2023

Хакеры атакуют госсистемы Используется метод фишинговых писем

Текст Павел Иевлев

Группа Sticky Werewolf атакует государственные системы России и Беларуси

Эксперты по кибербезопасности из BI.ZONE сообщили, что печально известная хакерская группа Sticky Werewolf успешно получила несанкционированный доступ к компьютерным системам государственных организаций России и Беларуси. Проникновение в систему было осуществлено с помощью серии фишинговых рассылок, в ходе которых ничего не подозревающие жертвы переходили по вредоносным ссылкам, что приводило к установке коммерческих вредоносных программ.

В сложных фишинговых кампаниях Sticky Werewolf использует IP Logger – инструмент, позволяющий создавать обманные ссылки. Эти ссылки, вложенные в фишинговые письма, собирают множество информации о пользователях, перешедших по ним, включая временную метку, IP-адрес пользователя, его местоположение (страна и город), версию браузера и операционную систему. Эти данные позволяют хакерам проводить базовое профилирование, что дает им возможность нацеливаться на системы, представляющие особый интерес, и игнорировать менее приоритетные. Примечательно, что использование IP Logger позволяет злоумышленникам использовать собственные доменные имена, благодаря чему фишинговые письма кажутся получателям менее подозрительными.

При переходе по обманным ссылкам в фишинговых письмах жертвы попадают на вредоносные файлы, маскирующиеся под безобидные документы Word или PDF с расширениями.exe или .scr. При открытии этих файлов на экране появляется содержимое, призванное ввести пользователя в заблуждение, например, поддельные экстренные предупреждения от государственных органов, заявления о претензиях или предписания об устранении якобы имевших место нарушений. Одновременно в фоновом режиме на устройство жертвы тайно устанавливается коммерческое вредоносное ПО, известное как NetWire RAT.

NetWire RAT, внедрившись в скомпрометированную систему, предоставляет злоумышленникам широкие возможности контроля и наблюдения. В частности, они могут собирать информацию о скомпрометированном устройстве, перехватывать данные о нажатиях клавиш, записывать видео с экрана и веб-камеры, записывать звук с микрофона устройства и осуществлять другие шпионские действия.

Чтобы еще больше запутать свои действия и избежать обнаружения, Sticky Werewolf использует протектор Themida, который добавляет к вредоносной программе NetWire RAT дополнительный слой обфускации, существенно затрудняющий идентификацию и удаление угрозы средствами защиты.

По имеющимся данным, с начала апреля этого года Sticky Werewolf совершил не менее 30 кибератак.

Какие бывают хакеры: