30.11.2023  Новости, Безопасность

Специалисты BI.ZONE Threat Intelligence обнаружили группировку Rare Wolf, которая использует фишинг и легитимное ПО для атак на российские организации. Одной из целей злоумышленников был доступ к телеграм-аккаунтам сотрудников компаний. Группировка активна с 2019 года и также совершала атаки на компании из стран ближнего зарубежья. Злоумышленники рассылали фишинговые письма, замаскированные под уведомления об оплате. К каждому письму прилагался архив, в котором якобы находились накладная «1С:Предприятие» и электронный ключ для доступа к ней. На самом деле внутри архива был файл с расширением .scr. После открытия файла на компьютер жертвы загружалось несколько архивов с инструментами. С их помощью злоумышленники собирали все документы, которые были на диске скомпрометированной системы, извлекали сохраненные пароли из браузера и копировали папку мессенджера Telegram. В этой папке среди прочего содержался зашифрованный ключ, который позволял преступникам зайти в скомпрометированную учетную запись без авторизации и незаметно для жертвы контролировать всю переписку и пересылаемые файлы. Новые сессии при этом не фиксировались в истории активностей. Вся информация, которую удавалось собрать злоумышленникам, отправлялась на подконтрольный им электронный адрес. Причем применялась утилита, позволяющая сделать это с использованием командной строки. Затем в скомпрометированную систему устанавливалась программа Mipko Employee Monitor. Это легитимное программное обеспечение для ... читать далее.