Аналитики Центра кибербезопасности компании F.A.C.C.T. зафиксировали в январе 2025 года массовые атаки кибершпионской группировки Rezet, также известной как Rare Wolf, на российские промышленные предприятия. Только за последнюю неделю января решение https://www.facct.ru/products/manage...campaign=rezet перехватило ряд вредоносных рассылок. Под видом приглашения на семинары по стандартизации оборонной продукции скрывались вредоносные файлы, открытие которых могло привести к заражению рабочих станций.
Rezet aka Rare Wolf – кибершпионская группа, активная с октября 2018 года. По данным исследователей, совершила около пятисот кибератак на российские, белорусские и украинские промышленные предприятия. Атакуют преимущественно с помощью фишинговых рассылок. В кампаниях 2021 и 2023 годов злоумышленники использовали для заражения устройств файл rezet.cmd, по которому исследователи и назвали группу.
В январе 2025 года вредоносные рассылки производились, например, от имени компании, которая специализируется на сопровождении контрактов предприятиями – исполнителями гособоронзаказа. Объектами атаки стали предприятия химической, пищевой и фармацевтической промышленности. Письма выглядели как приглашения руководителей и специалистов на семинары по стандартизации оборонной продукции.
https://habrastorage.org/r/w1560/get...dc85f7085c.png
Вредоносное письмо от группировки Rezet, перехваченное системой https://www.facct.ru/products/manage...campaign=rezet
Rezet использовали технику заражения, схожую с прошлыми атаками. В первой рассылке внутри архива находился вредоносный файл, который содержал в себе файл-приманку в виде PDF-документа, а также полезную нагрузку. Пароль к архиву был указан в тексте письма. Такая техника применяется для обхода стандартных средств защиты. При запуске открывается PDF-документ для отвлечения внимания и происходит заражение системы.
https://habrastorage.org/r/w1560/get...c98fd7b93a.png
Сведения об атрибуции Rezet, полученные после анализа в F.A.C.C.T. Malware Detonation Platform вредоносного письма
Во второй и третьей рассылках, которые злоумышленники направили несколько дней спустя, в архиве находились уже два вредоносных файла, содержащие PDF-документ и полезную нагрузку. Открытие любого из них также приводит к заражению системы.
https://habrastorage.org/r/w1560/get...99d096a31b.png
Файл-приманка из вредоносного письма от Rezet
Автоматизированные отчёты системы F.A.C.C.T. Managed XDR доступны https://detonation.facct.ru/jyiCzpyl...wPB8MT48g8/ru/и https://detonation.facct.ru/rGt8e7G7...tIVulSVMyl/ru/.
https://habr.com/ru/companies/f_a_c_c_t/news/878320/