Эксперты «Лаборатории Касперского» предупредили о новой вредоносной рассылке по компаниям в России. Среди сообщений попадаются письма якобы от официальных ведомств страны. Согласно легенде злоумышленников, из-за ошибок в электронной базе данных получатель должен проверить правильность информации о сотрудниках. Вероятно, цель атакующих — шпионаж, кража документов или данных для доступа к корпоративным почтовым ящикам. Используемые зловреды и техники имеют множество сходств с теми, которые применяет в своих атаках группа XDSpy.
Рассылка началась утром 13 марта. За четверо суток эксперты «Лаборатории Касперского» обнаружили несколько сотен подобных писем*. Злоумышленники просят сверить данные о сотрудниках якобы из базы ведомства. Под видом вложенного списка рассылается вредоносное ПО. В сообщении утверждается, что обновлённую информацию нужно направить срочно, иначе получатель рискует быть привлечённым к административной ответственности. Среди основных адресатов — сотрудники кадровых и финансовых отделов. Однако, как предупреждают специалисты, такое письмо может прийти на любой корпоративный адрес.
15 марта была заблокирована ещё одна волна рассылки с теми же признаками. В ней злоумышленники пугали получателя уголовной статьёй в связи с неким денежным переводом и предлагали перейти по ссылке, чтобы узнать подробности «дела». Ссылка также была вредоносной.
Для рассылки злоумышленники регистрируют домены, которые похожи на легитимные файловые хостинги. Если пользователь попытается посмотреть заявленный в письме список, распакует скачавшийся архив и откроет файл, то при помощи командной строки запустится вредоносный код, и атака продолжится.
Пример письма
«В скачиваемом по ссылке архиве два файла. Один из них — ярлык, название которого соответствует описанию в тексте письма (например, Spisok_No_658.lnk). Второй — текстовый, с вредоносным кодом. Он назван Thumbs.db, как и служебный файл в операционных системах Microsoft, который используется для хранения эскизов содержащихся в папке изображений. Если попытаться открыть этот якобы список, то автоматически запустится второй файл, атака продолжится», — предупреждает Виктория Власова, эксперт по кибербезопасности «Лаборатории Касперского».
«Сами письма хотя и выглядят правдоподобно — содержат подпись и адрес отправителя — написаны довольно небрежно, с ошибками. Более того, внимательный пользователь заметит, что приходят они с домена, не имеющего отношения к заявленной организации, — добавляет Андрей Ковтун, руководитель группы защиты от почтовых угроз „Лаборатории Касперского“. — В целом рассылка похожа на ту, что мы видели в октябре прошлого года, когда шла волна писем с поддельными повестками в военкомат: используется почтовая программа Thunderbird; формат письма, внешний вид ссылок и имена доменов тоже похожи; отправка, как и тогда, осуществляется с доменов не из зоны ru».
Для предотвращения целевых атак эксперты «Лаборатории Касперского» рекомендуют организациям:
- использовать комплексные решения для защиты всей инфраструктуры от кибератак любой сложности;
- применять специализированное решение, которое сочетает функции детектирования и реагирования с функциями threat hunting и позволяет распознавать известные и неизвестные угрозы без привлечения внутренних ресурсов компании;
- предоставлять команде SOC (центра мониторинга кибербезопасности) доступ к актуальной информации о ландшафте киберугроз — специализированным отчётам с такими данными;
- проводить тренинги для специалистов по реагированию на киберинциденты, чтобы развивать их компетенции;
- организовывать для сотрудников неспециализированных подразделений обучение базовым навыкам ИБ, поскольку целевые атаки часто начинаются с фишинга или других схем с использованием социальной инженерии.
* Данные на основе анонимизированной статистики срабатывания решений «Лаборатории Касперского» в середине марта 2023 года.
Источник: Пресс-служба компании «Лаборатория Касперского»
17 марта 2023 г.
Источник: novostiitkanala.ru
На нашей информационной площадке "ДайджестВизард" вы сможете найти больше новостей IT
Информируем Вас о наших курсах для IT-специалистов:
- Информационная безопасность и шифрование данных
- Программирование на языке Python. 1 уровень
- Основы администрирования Linux. Аналог курсов RHCSA
- AL-1701. ОС Astra Linux Special Edition 1.7 для пользователей
- AL-1702. Администрирование ОС Astra Linux Special Edition 1.7
Посмотреть больше курсов