По данным BI.ZONE, в 2023 году с фишинговых рассылок начинались 68% атак на компании России и других стран СНГ. В первом полугодии 2024 года этот показатель вырос до 76%. При этом 79% фишинга злоумышленники маскируют под финансовую документацию, например счета и платежные документы. 8% фишинговых писем мимикрируют под договоры и соглашения, а 5% — под резюме. Еще 4% подобных рассылок приходит под видом сообщений от регуляторов.
Фишинговые письма якобы от лица государственных органов нередко отличаются высоким уровнем юридической грамотности и могут содержать ссылки на настоящие официальные сайты. Так злоумышленники стараются усыпить бдительность пользователей. Наряду с этим они могут использовать редкое вредоносное ПО (ВПО), которое сложнее распознать с помощью стандартных инструментов. Это повышает вероятность того, что атакующий проникнет в инфраструктуру незамеченным, успеет в ней закрепиться и нанести серьезный ущерб.
Олег Скулкин, руководитель BI.ZONE Threat Intelligence, отметил: «Эти тренды прекрасно иллюстрирует недавняя серия атак на компании Казахстана. Группировка Bloody Wolf не просто рассылала жертвам очень правдоподобные фишинговые письма от имени регуляторов, но и размещала свои вредоносные программы на домене, который имитировал сайт одной из государственных структур Республики Казахстан. Под видом официального документа жертва скачивала вредоносный JAR-файл. Такие файлы используются злоумышленниками нечасто, что позволяет им обойти некоторые средства защиты».
PDF-файл во вложении письма от Bloody Wolf достоверно имитировал официальное уведомление о необходимости устранить нарушения. Кроме ссылок на вредоносные файлы, документ содержал инструкции по установке интерпретатора Java, который необходим для работы ВПО. Еще одна ссылка вела на легитимный сайт госоргана Республики Казахстан, где также опубликована такая инструкция — Java обеспечивает корректную работу государственного портала.
Вредоносная программа представляла собой коммерческий троян STRRAT, также известный как Strigoi Master. Он позволяет злоумышленнику удаленно выполнять команды на скомпрометированном компьютере, управлять файлами и браузерами, перехватывать нажатия клавиш и т. д. Функциональные особенности Strigoi Master принципиально не отличаются от возможностей аналогичных средств удаленного доступа. Преимущество данного ВПО в том, что его сложнее распознать из-за использования редких типов файлов.
Bloody Wolf — не первая группировка, которая использует для атак на компании стран СНГ фишинг, замаскированный под сообщения от госорганов. Похожие схемы применяли Scaly Wolf для атак на российские промышленные и логистические компании, Mysterious Werewolf — на предприятия ВПК, а Sticky Werewolf — на государственные организации России и Беларуси.
В атаках, подобных тем, которые реализовывал кластер Bloody Wolf, важно не только обнаружить попытку проникновения в сеть, но и вовремя отреагировать на нее. Решения для защиты конечных точек от сложных угроз, например BI.ZONE EDR, помогут отследить атаку на ранних этапах и оперативно принять меры в автоматическом режиме либо с помощью команды кибербезопасности.
Ускорить реагирование на инциденты, защититься от наиболее критичных для компании угроз и повысить эффективность работы СЗИ могут помочь данные порталов киберразведки, например BI.ZONE Threat Intelligence. Они предоставляют подробную информацию об актуальных атаках, злоумышленниках, их техниках и инструментах.