Троян под видом мобилизационного предписания
Компания F.A.С.С.T., специализирующаяся на разработке технологий для борьбы с киберпреступлениями, зафиксировала масштабную атаку 10 мая и благодаря своей системе Business Email Protection заблокировала более 600 вредоносных писем, которые были отправлены российским компаниям, включая HR-специалистов и секретарей.
Письма были направлены якобы от имени Главного Управления Военного Комиссариата МО РФ с поддельного адреса электронной почты mail@voenkomat-mil[.]ru. В письмах говорилось, что получатели должны явиться 11 мая к 8.00 в военный комиссариат для уточнения данных, и что оригинал электронной повестки находится в приложении к письму. На самом деле письма содержали zip-архивы с именами вида "Мобилизационное предписание №5010421409-ВВК от 10.05.2023.zip" и exe-файлом внутри. При автоматическом анализе системой Business Email Protection exe-файлы были атрибутированы как троян удаленного доступа DarkWatchman RAT. Ранее этот троян был замечен в кампаниях финансово-мотивированной группы Hive0117 и использовался злоумышленниками в качестве разведывательного инструмента на первоначальной стадии атаки.
Предполагается, что компании из различных секторов могут стать потенциальными жертвами атаки, включая банки, IT-компании и предприятия малого и среднего бизнеса. Тем не менее, благодаря системе Business Email Protection, масштабная атака была полностью остановлена и не затронула важных бизнес-процессов компаний, которые установили эту систему.
Hive0117 — финансово мотивированная группа киберпреступников, созданная в феврале 2022 года и специализирующаяся на рассылках вредоносного ПО DarkWatchman. Специалисты ранее фиксировали рассылки, замаскированные под официальные сообщения Федеральной службы судебных приставов при правительстве России. Электронные письма на русском языке были адресованы пользователям, работающих в секторах телекоммуникаций, электроники и IT-промышленности в Литве, Эстонии и России.