Центр кибербезопасности F.A.C.C.T. зафиксировал кибератаку, нацеленную на крупную российскую страховую компанию. Под видом зашифрованного архива с итогами фейкового тендера от Минобороны злоумышленники распространяли троян DarkWatchman RAT. До этого он был замечен в кампаниях финансово-мотивированной группы Hive0117, в том числе в массовой рассылке по российским компаниям лже-повесток в мае этого года.
18 июля автоматизированная система защиты электронной почты Business Email Protection от F.A.С.С.T. зафиксировала и заблокировала почтовую рассылку вредоносного письма, распространяемого под видом информации о выигранном тендере на заключение договора ОСАГО для Минобороны. Для выполнения условий тендера компании якобы требовались подрядчики.
"Пытаясь выдать себя за сотрудника компании, у которого в данный момент нет возможности проверить вложение, злоумышленник просит “коллег” открыть зашифрованный архив, — рассказал Ярослав Каргалев, руководитель Центра кибербезопасности F.A.C.C.T. — Такая "осторожность" объясняется отсутствием других защищенных каналов связи, так как заказчиком тендера якобы является МО РФ".
На самом деле злоумышленники использовали довольно интересную технику социальной инженерии — создали фиктивную цепочку переписки с целью легитимизировать основную легенду в письме. Имитация "живого общения" должна было снять настороженность у получателя письма.
https://hsto.org/r/w1560/getpro/habr...de3ba4d421.png
Скриншот письма с предложением открыть архив
Кроме того, в своей легенде атакующие пытались обосновать "зашифрованность" вложения, на деле же это использовалось с целью обхода средств защиты. Для обычной “песочницы” архив c паролем затрудняет анализ вложения, однако автоматизированной системе защиты электронной почты Business Email Protection компании F.A.С.С.T. не составило труда получить пароль из текста, расшифровать вложение и отправить его на анализ.
https://hsto.org/r/w1560/getpro/habr...af7a9d34b0.png
Данные об архиве, вложенном в письмо
Письма были отправлены с общедоступного почтового сервиса. Внутри архива, маскируясь под pdf-документ, лежит исполняемый файл. При автоматическом анализе exe-файл был атрибутирован как троян удаленного доступа DarkWatchman RAT и письмо было заблокировано не дойдя до адресата.
https://hsto.org/r/w1560/getpro/habr...6790d5b9e4.png
Отчет Business Email Protection о наличии вредоносной активности
Как сообщала ранее F.A.C.C.T., DarkWatchman RAT представляет собой троян удаленного доступа, написанный на JavaScript, распространяется в паре с .NET кейлоггером. Отличительной чертой данного семейства является широкое применение LotL (Living-of-the-Land) подхода.
Троянская программа удаленного доступа (RAT) используется для скрытого удаленного доступа к скомпрометированному устройству, на котором троян может выполнять различные команды злоумышленников: загрузку других вредоносных модулей, шпионаж и дальнейшее распространение по сети организации.
Используя систему графового анализа F.A.C.C.T. Threat Intelligence Graph, можно отследить, какая именно сетевая инфраструктура была задействована злоумышленниками под конкретную атаку, и какие кампании с ее помощью проводились раньше.
https://hsto.org/r/w1560/getpro/habr...a5610769ca.png
Напомним, что ранее DarkWatchman был замечен в кампаниях финансово-мотивированной группы Hive0117, созданной в феврале 2022 года. Троян уже использовался злоумышленниками в качестве разведывательного инструмента на первоначальной стадии атаки. В мае этого года киберпреступники рассылали DarkWatchman RAT по российским компаниям под видом фейковых мобилизационных предписаний.
https://hsto.org/r/w1560/getpro/habr...139821ea7f.png
Скриншот массовой рассылки от 10 мая
Однако масштабная — более 600 писем — рассылка была также полностью остановлена, не затронув важных бизнес-процессов компаний, у которых установлена система Business Email Protection.
https://habr.com/ru/companies/f_a_c_c_t/news/750996/