Компания «Лаборатория Касперского» сообщила, что летом 2022 г. выявила и заблокировала ряд вредоносных рассылок, нацеленных на российские госорганы и крупные компании. В рамках атак сотрудники получают письма с вредоносными файлами во вложении. Тексты составлены с учетом специфики деятельности конкретных организаций и актуальной повестки. В некоторых случаях злоумышленники применяют неизвестное ранее вредоносное ПО и приемы, которые осложняют обнаружение таких писем защитными решениями.

В частности, эксперты «Лаборатории Касперского» зафиксировали рассылки якобы от имени сотрудников различных министерств группам получателей с доменами государственных организаций и ведомств. При этом информацию о людях, которыми представлялись злоумышленники в этих письмах, можно было найти в открытом доступе. Письма содержали файл, замаскированный под документ с актуальной для получателей информацией. Например, к одной из рассылок был приложен RTF-файл якобы с комментариями к некой таблице. Он содержал вредоносный код, который эксплуатировал уязвимость в модуле Microsoft Office Equation Editor – редакторе формул для офисных программ. Использование этой уязвимости фактически позволяло злоумышленнику запустить на компьютере жертвы любой код и исполняемый файл.

Эксперты отмечают высокий уровень правдоподобности писем. Адреса отправителей повторяли логику формирования почтовых адресов в соответствующих ведомствах за одним исключением: домены принадлежали сторонним почтовым сервисам, не очень распространенным в России (этот прием называется спуфинг). Были и другие признаки, указывающие на то, что сообщение – подделка, например, в теме письма упоминался человек, который действительно работал в ведомстве ранее, но на момент рассылки уже не был его сотрудником. Кроме того, списки получателей писем были слишком большими и разнообразными, что должно было вызвать подозрения у внимательного пользователя.

В июле эксперты «Лаборатории Касперского» также зафиксировали целевую вредоносную рассылку, пришедшую сразу нескольким сотрудникам одного крупного телеком-оператора. Злоумышленники выдавали себя за представителей подрядчика компании, который оказывает бухгалтерские услуги. В письме сообщалось якобы об удержании зарплаты по итогам текущего месяца, и получателю предлагалось ознакомиться с соответствующими вложенными документами. К письму был приложен архив с файлом, который содержал ранее неизвестный бэкдор. Он позволяет злоумышленникам совершать действия на устройстве жертвы без ее ведома: исполнять произвольный код командной строки, полученный с удаленного сервера, снимать скриншоты экрана, скачивать и запускать файлы из интернета и отправлять в командный центр пользовательские файлы.

Отличительная особенность этой рассылки – наличие двух писем: одно с текстом о сокращении зарплаты и файловым архивом во вложении, второе – с паролем от него. Скорее всего, это было сделано, чтобы обмануть алгоритмы защитных решений.

Как комментируют в «Лаборатории Касперского», в текущем году наблюдается всплеск таргетированных почтовых атак на крупные компании и государственные органы, злоумышленники активно используют приемы социальной инженерии и стремятся сделать каждое письмо максимально правдоподобным, а также постоянно ищут новые изощренные способы обойти защитные решения. Поэтому эксперты рекомендуют быть начеку и обращать внимание на мельчайшие детали даже в деловых переписках.