Серия кибератак на российские компании провалилась из-за грубой ошибки хакеров

Группировка Scaly Wolf попыталась использовать новый инструмент, чтобы эффективнее внедрять в инфраструктуру организаций...

Группировка Scaly Wolf попыталась использовать новый инструмент, чтобы эффективнее внедрять в инфраструктуру организаций стилер White Snake – вредоносное ПО для кражи данных. Но вместо стилера на скомпрометированные устройства устанавливался легитимный файл, не причинявший никакого ущерба. Об этом CNews сообщили представители Bi.Zone.

Группировка Scaly Wolf, ранее неоднократно атаковавшая организации России и Белоруссии, снова активизировалась в конце марта 2024 г. Злоумышленники провели с разных email-адресов не менее шести фишинговых рассылок, нацеленных на промышленные и логистические компании, а также государственные организации.

Злоумышленники планировали получить доступ к корпоративным данным с помощью стилера White Snake, который использовали в прежних кампаниях. Это вредоносное ПО позволяет собирать сохраненные в браузере логины и пароли, записывать нажатия клавиш, копировать документы с зараженного компьютера, получать к нему удаленный доступ и т. д.

Группировка действовала по привычной схеме, маскируя фишинг под официальные письма от федеральных ведомств. По плану, получив «уведомление от регулятора», жертва должна была открыть приложенный ZIP-архив. Раньше Scaly Wolf просто помещала стилер в архив, но теперь злоумышленники пошли более сложным и, как им казалось, более надежным путем — воспользовались вредоносным загрузчиком. При открытии архива он должен был внедриться в приложение «Проводник» и установить последнюю версию White Snake.

Олег Скулкин, руководитель Bi.Zone Threat Intelligence: «Злоумышленники обновили способ доставки стилера в целевые системы, чтобы эффективнее обходить средства защиты, но сделали это в спешке. Вместо ВПО White Snake в систему копируется легитимный файл explorer.exe — «Проводник». То есть даже в случае успешной атаки преступники не достигали главной цели: не получали доступ к чувствительным данным и скомпрометированной системе».

В ходе неудавшейся кампании Scaly Wolf использовали последнюю версию White Snake, которая появилась в продаже на теневых ресурсах только в конце марта 2024 г. Тогда же разработчики объявили «весенние скидки»: приобрести доступ к программе на полгода можно было за $500 вместо $590, на год — за $800 вместо $1100, бессрочно — за $1000 вместо $1950.

Ранее разработчики стилера говорили, что один из покупателей якобы модифицировал их вредоносное ПО и сумел обойти запрет на атаки в России и странах СНГ. Об этом они заявили в августе 2023 г. после публикации исследования Bi.Zone о применении White Snake в атаках на российские компании. Вероятнее всего, подобным заявлением разработчики хотели избежать блокировки на популярных теневых ресурсах. В последней версии стилера модуль, блокирующий применение программы на территории России и других стран СНГ, отсутствует.

Чтобы выявить методы закрепления на конечных точках ИТ-инфраструктуры, которые применяет Scaly Wolf, необходимо использовать решения класса endpoint detection and response. А обеспечить эффективную работу средств защиты информации, ускорить реагирование на инциденты и защититься от наиболее критических для компании угроз можно с помощью данных об актуальных изменениях киберландшафта, которые предоставляют платформы Threat Intelligence.

***

Bi.Zone — компания по управлению цифровыми рисками. Разрабатывает собственные продукты для обеспечения устойчивости ИТ-инфраструктур любого размера и оказывает услуги по киберзащите: от расследования инцидентов и мониторинга угроз до создания стратегий по кибербезопасности и комплексного аутсорсинга профильных функций. С 2016 г. компания реализовала более 1200 проектов в сферах финансов, телекоммуникаций, энергетики, авиации и др., защитив свыше 500 клиентов в 15 странах мира.

Адрес новости:
https://safe.cnews.ru/news/line/2024-04-23_seriya_kiberatak_na_rossijskie