Группировка атакует российские объекты критической инфраструктуры с помощью легального ПО UltraVNC.
Эксперты компании BI.ZONE выявили деятельность группировки Core Werewolf, которая атакует российские организации, связанные с оборонно-промышленным комплексом и критической инфраструктурой. Преступники используют легальное программное обеспечение для того, чтобы дольше оставаться незамеченными и получить доступ к конфиденциальной информации.
По данным BI.ZONE, группировка Core Werewolf начала свою деятельность не позже августа 2021 года и продолжает атаки до сих пор. Для проникновения в учреждения атакующие использовали фишинговые письма со ссылками на опасные файлы, замаскированными под документы форматов docx и pdf: постановления и приказы, методические пособия, служебные записки и резюме. При открытии такого файла пользователь видел заявленный документ, в то время как на его устройство в фоновом режиме устанавливалась программа UltraVNC. Это легитимное ПО, которое часто используют для удаленного подключения к компьютеру. Атакующие же таким образом получали доступ к скомпрометированному устройству.
«Сегодня группы все чаще отказываются от вредоносного ПО в пользу легитимных или встроенных в операционную систему инструментов. Пример Core Werewolf в очередной раз доказывает эффективность таких методов в управляемых человеком атаках», — отметил эксперт компании.
Чтобы снизить риски подобных атак, необходимо выстраивать и реактивный, и проактивный подход к обнаружению киберугроз. Эксперты BI.ZONE рекомендуют защищать электронную почту специализированными решениями, которые блокируют вредоносные письма. Кроме того, необходимо наладить мониторинг событий кибербезопасности, чтобы отслеживать подозрительное поведение легальных программ.
Эксперты компании BI.ZONE выявили деятельность группировки Core Werewolf, которая атакует российские организации, связанные с оборонно-промышленным комплексом и критической инфраструктурой. Преступники используют легальное программное обеспечение для того, чтобы дольше оставаться незамеченными и получить доступ к конфиденциальной информации.
По данным BI.ZONE, группировка Core Werewolf начала свою деятельность не позже августа 2021 года и продолжает атаки до сих пор. Для проникновения в учреждения атакующие использовали фишинговые письма со ссылками на опасные файлы, замаскированными под документы форматов docx и pdf: постановления и приказы, методические пособия, служебные записки и резюме. При открытии такого файла пользователь видел заявленный документ, в то время как на его устройство в фоновом режиме устанавливалась программа UltraVNC. Это легитимное ПО, которое часто используют для удаленного подключения к компьютеру. Атакующие же таким образом получали доступ к скомпрометированному устройству.
«Сегодня группы все чаще отказываются от вредоносного ПО в пользу легитимных или встроенных в операционную систему инструментов. Пример Core Werewolf в очередной раз доказывает эффективность таких методов в управляемых человеком атаках», — отметил эксперт компании.
Чтобы снизить риски подобных атак, необходимо выстраивать и реактивный, и проактивный подход к обнаружению киберугроз. Эксперты BI.ZONE рекомендуют защищать электронную почту специализированными решениями, которые блокируют вредоносные письма. Кроме того, необходимо наладить мониторинг событий кибербезопасности, чтобы отслеживать подозрительное поведение легальных программ.
- Источник новости
- www.securitylab.ru