В России выявили атаку восточноазиатской хакерской группировки Erudite Mogwai, направленную на госсектор. Злоумышленники рассылали сотрудникам атакованного предприятия фишинговые письма с вредоносным файлом, маскируясь под подрядчика организации и требуя проверить корпоративные ресурсы на наличие киберугроз.
Об этом "Газете.Ru" рассказали в пресс-службе компании "Солар", специалисты которой и зафиксировали инцидент.В письмах содержалась ссылка на архив "Приложение.7z" с тремя файлами: анкетой сотрудника, легитимным PDF-документом и вредоносным файлом, замаскированным под уведомление о проверке. Программа-загрузчик обладала механизмами обнаружения виртуальных сред и прекращала работу при анализе в "песочнице" (изолированное цифровой среде, которая используется для анализа поведения ПО с целью обнаружения вредоносов, – "Газета.Ru"), что затрудняло обнаружение угрозы.
Интегрированный в "Приложение.7z" вредонос представлял собой бэкдор. С его помощью хакеры потенциально могли удаленно управлять зараженным компьютером и получать доступ к хранящейся в нем информации.
Рассылка была зафиксирована в мае 2025 года. В компании описали жертву как "один из городских департаментов".
Эксперты "Солар" установили связь с аналогичными атаками 2024 года, где использовался тот же метод доставки вредоноса через скомпрометированные образовательные ресурсы. Тогда группировка Erudite Mogwai применяла многостадийную загрузку с отсрочкой активации бэкдора, что усложняло обнаружение атаки.
Специалисты рекомендуют организациям усилить проверку писем от подрядчиков с ссылками на архивы, особенно при отсутствии прецедентов подобных запросов в истории взаимодействия.
Свежие комментарии