Thread: Перезагрузка от Rezet: кибершпионская группировка снова атакует промышленные предприятия России
View Single Post
  #1  
Old 02-22-2025, 09:09 PM
Artifact's Avatar

Artifact Artifact is offline
Administrator
Join Date: Jan 2024
Posts: 0
Default

Аналитики Центра кибербезопасности компании F.A.C.C.T. зафиксировали в январе 2025 года массовые атаки кибершпионской группировки Rezet, также известной как Rare Wolf, на российские промышленные предприятия. Только за последнюю неделю января решение https://www.facct.ru/products/manage...campaign=rezet перехватило ряд вредоносных рассылок. Под видом приглашения на семинары по стандартизации оборонной продукции скрывались вредоносные файлы, открытие которых могло привести к заражению рабочих станций.
Rezet aka Rare Wolf – кибершпионская группа, активная с октября 2018 года. По данным исследователей, совершила около пятисот кибератак на российские, белорусские и украинские промышленные предприятия. Атакуют преимущественно с помощью фишинговых рассылок. В кампаниях 2021 и 2023 годов злоумышленники использовали для заражения устройств файл rezet.cmd, по которому исследователи и назвали группу.
В январе 2025 года вредоносные рассылки производились, например, от имени компании, которая специализируется на сопровождении контрактов предприятиями – исполнителями гособоронзаказа. Объектами атаки стали предприятия химической, пищевой и фармацевтической промышленности. Письма выглядели как приглашения руководителей и специалистов на семинары по стандартизации оборонной продукции.

Вредоносное письмо от группировки Rezet, перехваченное системой https://www.facct.ru/products/manage...campaign=rezet
Rezet использовали технику заражения, схожую с прошлыми атаками. В первой рассылке внутри архива находился вредоносный файл, который содержал в себе файл-приманку в виде PDF-документа, а также полезную нагрузку. Пароль к архиву был указан в тексте письма. Такая техника применяется для обхода стандартных средств защиты. При запуске открывается PDF-документ для отвлечения внимания и происходит заражение системы.

Сведения об атрибуции Rezet, полученные после анализа в F.A.C.C.T. Malware Detonation Platform вредоносного письма
Во второй и третьей рассылках, которые злоумышленники направили несколько дней спустя, в архиве находились уже два вредоносных файла, содержащие PDF-документ и полезную нагрузку. Открытие любого из них также приводит к заражению системы.

Файл-приманка из вредоносного письма от Rezet
Автоматизированные отчёты системы F.A.C.C.T. Managed XDR доступны https://detonation.facct.ru/jyiCzpyl...wPB8MT48g8/ru/и https://detonation.facct.ru/rGt8e7G7...tIVulSVMyl/ru/.
https://habr.com/ru/companies/f_a_c_c_t/news/878320/