•  ИНФОРМАЦИОННАЯ  БЕЗОПАСНОСТЬ  ГОСУДАРСТВЕННОГО  СЕКТОРА  ЭКОНОМИКИ,  БИЗНЕСА,  ЧАСТНОЙ  ЖИЗНИ  ГРАЖДАН  РОССИЙСКОЙ  ФЕДЕРАЦИИ
  • Публикации
  • Мобилизовались: злоумышленники стали распространять вредоносное ПО под видом повесток
  1. Главная
  2. Публикации
  3. Мобилизовались: злоумышленники стали распространять вредоносное ПО под видом повесток
Мобилизовались: злоумышленники стали распространять вредоносное ПО под видом повесток
6 октября 2022

Мобилизовались: злоумышленники стали распространять вредоносное ПО под видом повесток

В начале октября эксперты «Лаборатории Касперского» зафиксировали целевую атаку на российские организации. 

Злоумышленники разослали несколько сотен вредоносных писем*, якобы касающихся темы частичной мобилизации. Анализ тактик и инструментов позволяет предположить, что за кампанией стоит группа XDSpy. 

На первой рабочей неделе октября эксперты «Лаборатории Касперского» обнаружили рассылку вредоносных электронных писем. В сообщениях говорится, что в связи с неполучением повестки с указанным номером человека призывают срочно явиться в назначенное место и время. Более подробная информация якобы указана в повестке в формате PDF, которую необходимо скачать по ссылке. Письмо тщательно подготовлено и выглядит правдоподобно: содержит ссылки на статьи УК РФ, геральдику и стилистику соответствующего ведомства.  В тексте злоумышленники угрожали возможными штрафами и уголовной ответственностью. Такие методы характерны для фишинговых рассылок и призваны заставить пользователя действовать быстро и необдуманно.

Ссылка ведёт на архив с исполняемым скриптом с расширением WSF. Если открыть файл, то он для отвода глаз скачает и отобразит в браузере PDF-документ, имитирующий отсканированную повестку, но параллельно создаст файл AnalysisLinkManager.exe во временной папке и запустит его. Используемое вредоносное ПО и техники имеют множество сходств с инструментами кибергруппы XDSpy. В частности, с версиями прошлых лет совпадают исходный код вредоносного WSF-скрипта и способы запуска, а также частично названия файлов. Цели XDSpy — шпионаж, кража документов и других файлов, а также данных для доступа к корпоративным почтовым ящикам.

«В этой кампании используется ряд техник, позволяющих злоумышленникам проникнуть и закрепиться в системе — таргетированные фишинговые рассылки, имитация писем регуляторов, использование актуальной новостной повестки, вывод на экран изображения, которое ожидает пользователь. Это традиционно для XDSpy, — комментирует Андрей Ковтун, руководитель группы защиты от почтовых угроз «Лаборатории Касперского». — Такие атаки непросто обнаружить, поэтому компаниям важно внедрять комплексные системы защиты, а также обучать сотрудников правилам кибербезопасности».

Для предотвращения целевых атак эксперты «Лаборатории Касперского» рекомендуют организациям:

-использовать комплексные решения для защиты всей инфраструктуры от кибератак любой сложности, такие как Kaspersky Symphony XDR: эта платформа содержит системы обнаружения и реагирования, которые помогут распознавать и останавливать атаки на ранних стадиях;

-применять специализированное решение, которое сочетает функции детектирования и реагирования с функциями threat hunting и позволяет распознавать известные и неизвестные угрозы без привлечения внутренних ресурсов компании;

-предоставлять команде SOC (центра мониторинга кибербезопасности) доступ к актуальной информации о киберугрозах;

-проводить тренинги для специалистов по реагированию на киберинциденты, чтобы развивать их компетенции;

-организовывать для сотрудников неспециализированных подразделений тренинги по кибербезопасности, поскольку целевые атаки часто начинаются с фишинга или других схем с использованием социальной инженерии.

* Данные на основе анонимизированной статистики срабатывания решений «Лаборатории Касперского» за октябрь 2022 года.

Материал подготовлен АО "Лаборатория Касперского"




Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь с политикой конфиденциальности

Ваши контактные данные не публикуются на сайте.

Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь с политикой конфиденциальности

Теги:
Публикации
Все публикации
Важное
Import_sec-centre.png
Пришлите готовый запрос на E-mail
или заполните форму

Отправить запрос
Тренды

Популярное

28.03.2025

Масштабный релиз МойОфис 3.2: новый уровень производительности и безопасности продуктов

«МойОфис»  представил обновленные версии корпоративных продуктов Squadus 1.7, Squadus PRO 1.7, «МойОфис Частное Облако» 3.2 и «МойОфис Стандартный». Нововведения создают удобное и защищенное пространство для эффективной командной работы. Также, в рамках релиза была значительно расширена функциональность приложений для частных лиц «МойОфис для дома»

28.03.2025

RuBackup признан эффективным решением резервного копирования, восстановления и защиты данных для банков

Компания «РуБэкап» (входит в «Группу Астра») получила престижную премию FINNEXT на ежегодном форуме финансовых инноваций. Разработчик решения RuBackup признан лидером в специальной номинации «Эффективное импортозамещающее решение для резервного копирования, восстановления и защиты данных для банков»

28.02.2025

Кибер Бэкап и Nova Container Platform обеспечат высокую доступность и защищенность данных в контейнерной среде

Компании «Киберпротект» и Orion soft подтвердили взаимную совместимость системы резервного копирования Кибер Бэкап и платформы оркестрации контейнеризированных приложений Nova Container Platform. Вместе решения дают заказчикам инструменты для комплексной защиты данных в контейнерах: не только для гибкого резервного копирования и восстановления информации, но также и для мониторинга и контроля потенциальных уязвимостей

27.02.2025

Редактор ContentReader® PDF и документные сканеры Avision будут поставляться совместно

Разработчик ИИ-решений для интеллектуальной обработки информации Content AI и поставщик компьютерного оборудования ПИРИТ договорились о сотрудничестве при продвижении своих продуктов. Компании будут реализовывать сканеры Avision с редактором ContentReader PDF для корпоративных пользователей отечественных операционных систем

21.03.2025

Доктор, откуда у вас такие картинки? Использование стеганографии при добыче криптовалюты

В ходе анализа данных телеметрии специалисты вирусной лаборатории «Доктор Веб» выявили образцы вредоносного ПО, которые при ближайшем рассмотрении оказались компонентами активной кампании по майнингу криптовалюты Monero. Эта кампания примечательна тем, что реализована в виде ряда вредоносных цепочек, две из которых построены на запуске скриптов, извлекающих вредоносную нагрузку из файлов изображений в формате BMP

14.05.2024

Злоумышленники крадут данные у российских пользователей под видом нейросети для изменения голоса

«Лаборатория Касперского» обнаружила вредоносную кампанию, в рамках которой злоумышленники распространяют зловред для ОС Windows под видом приложения на основе нейросетей для изменения голоса

10.12.2024

Мошенники крадут данные и деньги у пользователей под видом предоплаты услуг

Злоумышленники обновили свою схему, предупреждают эксперты «Лаборатории Касперского»

27.02.2025

«Лаборатория Касперского»: в 2024 году с критичными инцидентами чаще всего сталкивались организации из сферы ИТ, промышленности и госсектора

Таковы данные ежегодного аналитического отчёта, основанного на статистике срабатываний Kaspersky MDR.

Мы используем куки (cookies) с целью повышения удобства вашей работы с сайтом.

Продолжая работу с сайтом, вы соглашаетесь с нашей политикой конфиденциальности.