Хакеры притворялись госслужащими из Киргизии для шпионажа в России
Группа хакеров Cavalry Werewolf атаковала российские организации с целью шпионажа, выдавая себя за госслужащих из Киргизии, сообщили РБК в компании BI.ZONE. Мишенями злоумышленников стали государственные учреждения, а также компании из сферы энергетики, добычи полезных ископаемых и обрабатывающей промышленности.
Хакеры под видом сотрудников разных киргизских министерств рассылали жертвам письма с пометкой «важные документы». На самом же деле в прикрепленных RAR-архивах было спрятано вредоносное ПО.
«Это были не коммерческие, массовые программы, которые можно купить на теневых площадках. Злоумышленники создавали собственные: реверс-шеллы FoalShell и трояны удаленного доступа StallionRAT с управлением через Telegram», — говорится в сообщении BI.ZONE. По словам экспертов, эти инструменты позволяют удаленно управлять скомпрометированным устройством.
Для своих рассылок хакеры чаще всего создавали почтовые ящики, похожие на настоящие адреса чиновников. Однако в некоторых случаях использовали реальный e-mail, который был указан в качестве контактного на сайте одной из киргизских госструктур.
«Фишинговые письма Cavalry Werewolf не выбивались из стилистики официальной переписки. Правдоподобный фишинг, который сложно распознать, а также использование самописных программ и активные эксперименты с арсеналом — характерный почерк шпионских группировок», — рассказал РБК руководитель BI.ZONE Threat Intelligence Олег Скулкин. Он отметил, что главная задача преступников как можно дольше оставаться незамеченными в «скомпрометированной инфраструктуре».
В BI.ZONE не исключают, что хакеры из Cavalry Werewolf готовят новые атаки — против граждан и компаний Таджикистана и стран Ближнего Востока. Специалисты обнаружили созданные злоумышленниками файлы с названиями на таджикском и арабском языках.
Кроме того, группировка тестирует новые вредоносные программы, в частности троян удаленного доступа Async RAT. В отличие от самописных инструментов, которые были недавно использованы против российских организаций, он бесплатен и доступен на одной из популярных платформ для хостинга IT-проектов. Однако для своих задач злоумышленники выбрали модификацию, переписанную на языке программирования Rust, выяснили киберзащитники.
Читайте РБК в Telegram.
Попробуйте новую функцию «ГигаЧат» — общаться голосом
Какое вино подать к ужину, если не знаешь предпочтения гостей
Как приготовить говядину в вине по-бургундски
Чем занять детей, пока взрослые общаются за столом
Как легко завести разговор в компании, где все только что познакомились
О чём надо позаботиться, если собираешься позвать много гостей
Из каких сыров и ветчин собрать тарелку закусок к вину
Что делать, если пролил красное вино на белую скатерть
Какие есть правила классической сервировки стола
Какие игры можно предложить для взрослой компании дома
Как легко запомнить имена людей, которых тебе представили
