Международные эксперты по информационной безопасности сообщают: в сентябре-октябре 2023 года многие государственные органы и организации из Российской Федерации и Республики Беларусь подверглись атакам новой хакерской группировки – Sticky Werewolf («Липкий оборотень»). Группировка «работает» следующим образом – госорганизации получают вредоносный документ, с помощью которого происходит заражение персональных компьютеров и локальной сети.

  Таким образом была атакована администрация Красноярского края, Брестский исполнительный комитет. Эксперты отметили, что указанная группировка умело использует социальную инженерию в совокупности с мощными программными средствами, и порекомендовали внимательно относиться к любым письмам, приходящим на рабочую электронную почту пользователей. По оценкам экспертов, данная группировка весьма активна и совершила более 30 успешных атак. Для создания фишинговых писем используется коммерческое вредоносное программное обеспечение (ПО). Ссылки для мошеннических писем злоумышленники создают с помощью сервиса IP Logger. Он позволяет собирать информацию о кликнувших пользователях: время перехода, IP-адрес, страну и город, версию браузера и операционную систему, это помогает Sticky Werewolf отсеять системы, которые не представляют для них интереса, и сосредоточить атаки на наиболее приоритетных. Кроме того, с IP Logger группировка может использовать собственные доменные имена при создании ссылок. Это затрудняет распознавание фишинга, поскольку адрес не выглядит подозрительно. По словам экспертов по безопасности, ссылки в письмах ведут на вредоносные файлы с расширениями .exe или .scr, которые замаскированы под документы Word или PDF. Например, администрация Красноярского края была атакована злоумышленники, когда те прислали фейковое предупреждение от МЧС, а в Брестский исполнительный комитет поступил документ якобы из Генеральной прокураторы. Также мошенники неоднократно отправляли документы от имени различных судов. Открыв файл, жертва видит ожидаемый контент. В это время в фоновом режиме на устройство устанавливается коммерческое вредоносное ПО NetWire RAT, оно позволяет злоумышленникам собирать информацию о скомпрометированной системе, получать данные о нажатиях клавиш, видео с экрана и веб-камеры, записывать звук микрофона и осуществлять другие действия. Коммерческое вредоносное ПО NetWire существует с 2012 года. Несмотря на то что в марте 2023 года его автор был арестован правоохранительными органами в Хорватии, оно по-прежнему активно используется злоумышленниками, которые приобретают его на даркнет-форумах в среднем за 100 долларов США. NetWire копируется на устройство во временную папку под видом легитимного приложения. Чтобы дополнительно затруднить его обнаружение, Sticky Werewolf использует софт, который обеспечивает противодействие анализу вредоносной активности. В качестве основного вектора атаки данная хакерская группировка использует вредоносную рассылку. Она нацелена на те компании, работники которых не обладают базовой грамотностью в сфере информационной безопасности. Атаки предпринимались с учетом понимания уязвимостей, связанных со знаниями психологии людей.

Способы защиты от подобных кибератак:

1. Противодействовать злоумышленникам можно путем постоянного обучения и тренировки работников, для того чтобы они легко определяли фишинговые рассылки и были готовы не идти на поводу у злоумышленников.

2. Развивать эффективное взаимодействие работников предприятия с группой информационной безопасности и ИТ-подразделением, чтобы своевременно предупреждать последних о фишинговых атаках и тем самым содействовать быстрой и эффективной блокировке вредоносных рассылок. Это также позволит свести к минимуму ущерб, в случае открытия таких писем.

3. Соблюдать базовые принципы ИБ: установить решение для защиты почты, которое автоматически будет отправлять подобные письма в спам, регулярно обновлять антивирусные базы в уже установленном защитном ПО. Кроме того, следует придерживаться основных правил кибергигиены. При получении подобных писем, первое, о чем стоит задуматься: должен ли мне писать этот отправитель? Кроме этого, всегда необходимо внимательно оценивать вопросы, которые задает отправитель, а также проверять, есть ли нетипичные почтовые вложения (не открывая их). Все вышеперечисленные факторы помогут предотвратить кибератаки.

Материалы подготовлены группой по защите информации на основе анализа Интернет-ресурсов, материалов СМИ