Positive Technologies: Новый виток кибератак на русские госучреждения и компании
Positive Technologies выявила новые атаки на русские госучреждения и промышленность. Злоумышленники применяют стеганографию для скрытия вредоносного ПО. За атаками стоит группировка PhaseShifters, действующая в Восточной Европе с 2023 года.
Специалисты отдела исследования угроз компании Positive Technologies обнаружили новые сценарии кибератак, нацеленные на российские государственные учреждения, промышленные компании и исследовательские центры. Под угрозой оказались десятки организаций. В этом случае злоумышленники применили технику стеганографии, которая позволяет скрывать вредоносное программное обеспечение в изображениях и текстах. Эксперты отмечают сходство данных атак с действиями группировки TA558, о ней ранее сообщала компания Positive Technologies в апреле.
Согласно версии исследователей, за атакой стоит уже известная группировка, которая занимается шпионажем и уделяет внимание различным отраслям стран Восточной Европы, включая государственные учреждения, экономическую сферу и промышленность. Positive Technologies атрибутировала атаки группировке PhaseShifters, которая также известна как Sticky Werewolf. Эти преступники применяют фишинг, отправляя письма от лица официальных источников с просьбой подписать документы, вследствие чего на устройства загружается вредоносное ПО, включая Rhadamanthys, DarkTrack RAT, Meta Stealer и другие.
Атаки начинаются с рассылки фишинговых писем, содержащих защищенные паролем архивы с вредоносными файлами. В ходе расследования были изучены и проанализированы десятки документов, в том числе резюме и дополнительные соглашения. При открытии файлов на устройства жертв загружаются скрипты, скачивающие изображения с опасной нагрузкой, скрытой стеганографией. Эксперты предполагают, что PhaseShifters могли перенять эту технику у TA558, которая атакует организации по всему миру. Анализ цепочек атак привел к выводу, что данную технику и криптер использует UAC-0050 (UAC-0096), группировка, атакующая с 2020 года организации в России, Украине, Польше, Белоруссии, Молдовы и Прибалтики.
"Мы наблюдаем высокую активность группировки PhaseShifters с весны 2023 года," заявил Денис Кувшинов, руководитель TI-департамента экспертного центра безопасности Positive Technologies. Он отметил, что атаки PhaseShifters по технике идентичны атакам от UAC-0050 и происходят почти одновременно, с различием в несколько недель. На данный момент предполагается, что UAC-0050 и PhaseShifters могут быть одной и той же группировкой, однако это требует более длительного наблюдения для подтверждения.
Специалисты рекомендуют пользователям и компаниям быть бдительными при получении писем с вложениями даже от известных источников. Следует тщательно отслеживать сетевой трафик и проверять подозрительную активность, особенно ту, что связана с использованием PowerShell, CMD и WScript, чтобы предотвратить возможные кибератаки.