Как стать автором
Обновить
99.56

Киберпреступники отправляют страховщикам троян DarkWatchman RAT под видом фейкового тендера для Минобороны

Время на прочтение3 мин
Количество просмотров1.1K

Центр кибербезопасности F.A.C.C.T. зафиксировал кибератаку, нацеленную на крупную российскую страховую компанию.  Под видом зашифрованного архива с итогами фейкового тендера от Минобороны злоумышленники распространяли троян DarkWatchman RAT. До этого он был замечен в кампаниях финансово-мотивированной группы Hive0117, в том числе в массовой рассылке по российским компаниям  лже-повесток в мае этого года.

18 июля автоматизированная система защиты электронной почты Business Email Protection от F.A.С.С.T. зафиксировала и заблокировала  почтовую рассылку вредоносного письма, распространяемого под видом информации о выигранном тендере на заключение договора ОСАГО для Минобороны.  Для выполнения условий тендера компании якобы требовались подрядчики. 

"Пытаясь выдать себя за сотрудника компании, у которого в данный момент нет возможности проверить вложение, злоумышленник просит “коллег” открыть зашифрованный архив, — рассказал Ярослав Каргалев, руководитель Центра кибербезопасности F.A.C.C.T. — Такая "осторожность" объясняется отсутствием других защищенных каналов связи, так как заказчиком тендера якобы является МО РФ".

На самом деле злоумышленники использовали довольно интересную технику социальной инженерии —  создали фиктивную цепочку переписки с целью легитимизировать основную легенду в письме. Имитация "живого общения" должна было снять настороженность у получателя письма.  

Скриншот письма с предложением открыть архив
Скриншот письма с предложением открыть архив

Кроме того, в своей легенде атакующие пытались обосновать "зашифрованность" вложения, на деле же это использовалось с целью обхода средств защиты. Для обычной “песочницы” архив c паролем затрудняет анализ вложения, однако автоматизированной системе защиты электронной почты Business Email Protection компании F.A.С.С.T. не составило труда получить пароль из текста, расшифровать вложение и отправить его на анализ.

Данные об архиве, вложенном в письмо
Данные об архиве, вложенном в письмо

Письма были отправлены с общедоступного почтового сервиса. Внутри архива, маскируясь под pdf-документ, лежит исполняемый файл. При автоматическом анализе exe-файл был атрибутирован как троян удаленного доступа DarkWatchman RAT и письмо было заблокировано не дойдя до адресата.

Отчет Business Email Protection о наличии вредоносной активности
Отчет Business Email Protection о наличии вредоносной активности

Как сообщала ранее F.A.C.C.T., DarkWatchman RAT представляет собой троян удаленного доступа, написанный на JavaScript, распространяется в паре с .NET кейлоггером. Отличительной чертой данного семейства является широкое применение LotL (Living-of-the-Land) подхода.

Троянская программа удаленного доступа (RAT) используется для скрытого удаленного доступа к скомпрометированному устройству, на котором троян может выполнять различные команды злоумышленников: загрузку других вредоносных модулей, шпионаж и дальнейшее распространение по сети организации.

Используя систему графового анализа F.A.C.C.T. Threat Intelligence Graph, можно отследить, какая именно сетевая инфраструктура была задействована злоумышленниками под конкретную атаку, и какие кампании с ее помощью проводились раньше.   

Напомним, что ранее DarkWatchman был замечен в кампаниях финансово-мотивированной группы Hive0117, созданной в феврале 2022 года. Троян уже использовался злоумышленниками в качестве разведывательного инструмента на первоначальной стадии атаки. В мае этого года киберпреступники рассылали  DarkWatchman RAT по российским компаниям под видом фейковых мобилизационных предписаний.

Скриншот массовой рассылки от 10 мая
Скриншот массовой рассылки от 10 мая


Однако масштабная — более 600 писем — рассылка была также полностью остановлена, не затронув важных бизнес-процессов компаний, у которых установлена система Business Email Protection.

Теги:
Хабы:
Рейтинг0
Комментарии1

Другие новости

Информация

Сайт
www.facct.ru
Дата регистрации
Дата основания
Численность
501–1 000 человек
Местоположение
Россия