Центр кибербезопасности F.A.C.C.T. зафиксировал кибератаку, нацеленную на крупную российскую страховую компанию. Под видом зашифрованного архива с итогами фейкового тендера от Минобороны злоумышленники распространяли троян DarkWatchman RAT. До этого он был замечен в кампаниях финансово-мотивированной группы Hive0117, в том числе в массовой рассылке по российским компаниям лже-повесток в мае этого года.
18 июля автоматизированная система защиты электронной почты Business Email Protection от F.A.С.С.T. зафиксировала и заблокировала почтовую рассылку вредоносного письма, распространяемого под видом информации о выигранном тендере на заключение договора ОСАГО для Минобороны. Для выполнения условий тендера компании якобы требовались подрядчики.
"Пытаясь выдать себя за сотрудника компании, у которого в данный момент нет возможности проверить вложение, злоумышленник просит “коллег” открыть зашифрованный архив, — рассказал Ярослав Каргалев, руководитель Центра кибербезопасности F.A.C.C.T. — Такая "осторожность" объясняется отсутствием других защищенных каналов связи, так как заказчиком тендера якобы является МО РФ".
На самом деле злоумышленники использовали довольно интересную технику социальной инженерии — создали фиктивную цепочку переписки с целью легитимизировать основную легенду в письме. Имитация "живого общения" должна было снять настороженность у получателя письма.
Кроме того, в своей легенде атакующие пытались обосновать "зашифрованность" вложения, на деле же это использовалось с целью обхода средств защиты. Для обычной “песочницы” архив c паролем затрудняет анализ вложения, однако автоматизированной системе защиты электронной почты Business Email Protection компании F.A.С.С.T. не составило труда получить пароль из текста, расшифровать вложение и отправить его на анализ.
Письма были отправлены с общедоступного почтового сервиса. Внутри архива, маскируясь под pdf-документ, лежит исполняемый файл. При автоматическом анализе exe-файл был атрибутирован как троян удаленного доступа DarkWatchman RAT и письмо было заблокировано не дойдя до адресата.
Как сообщала ранее F.A.C.C.T., DarkWatchman RAT представляет собой троян удаленного доступа, написанный на JavaScript, распространяется в паре с .NET кейлоггером. Отличительной чертой данного семейства является широкое применение LotL (Living-of-the-Land) подхода.
Троянская программа удаленного доступа (RAT) используется для скрытого удаленного доступа к скомпрометированному устройству, на котором троян может выполнять различные команды злоумышленников: загрузку других вредоносных модулей, шпионаж и дальнейшее распространение по сети организации.
Используя систему графового анализа F.A.C.C.T. Threat Intelligence Graph, можно отследить, какая именно сетевая инфраструктура была задействована злоумышленниками под конкретную атаку, и какие кампании с ее помощью проводились раньше.
Напомним, что ранее DarkWatchman был замечен в кампаниях финансово-мотивированной группы Hive0117, созданной в феврале 2022 года. Троян уже использовался злоумышленниками в качестве разведывательного инструмента на первоначальной стадии атаки. В мае этого года киберпреступники рассылали DarkWatchman RAT по российским компаниям под видом фейковых мобилизационных предписаний.
Однако масштабная — более 600 писем — рассылка была также полностью остановлена, не затронув важных бизнес-процессов компаний, у которых установлена система Business Email Protection.
