Специалисты рассказали о хакерах, проваливших атаки на РФ
Группировка Scaly Wolf обновила способ загрузки программы для получения доступа к информации на компьютер жертвы в спешке, из-за чего он работал не так, как предполагалось, рассказали в компании BI.Zone
МОСКВА, 23 апреля. /ТАСС/. Группировка Scaly Wolf, уже замеченная за атаками на РФ и Белоруссию и в конце марта снова начавшая действовать, провалила серию кибератак на Россию из-за собственной ошибки, сообщили ТАСС в компании BI.Zone. Эксперт "Лаборатории Касперского" Владимир Дащенко рассказал о случае, когда другая группировка использовала собственные IP-адреса для компрометации email и могла раскрыть себя.
Scaly Wolf в этот раз шла по привычной для себя схеме - маскировала фишинг под письма от федеральных ведомств. Доступ к корпоративным данным члены группы планировали получить с помощью стилера - программы для получения доступа к информации - White Snake.
Хакеры рассчитывали, что жертва откроет приложенный к письму архив в ZIP-формате. BI.Zone считает, что раньше стилеры просто помещались группировкой в архив, но теперь злоумышленники использовали вредоносный загрузчик, то есть пошли более сложным путем. При открытии архива загрузчик должен был внедриться в приложение "Проводник" (обычно это встроенный файловый менеджер) и установить последнюю версию стилера.
Но Scaly Wolf обновила способ доставки в спешке, поясняет глава BI.Zone Threat Intelligence Олег Скулкин. Вместо стилера в систему копировался сам "Проводник", легитимный файл. Таким образом, даже если бы атака прошла успешно, преступники не получали доступ к данным.
Дащенко в свою очередь рассказал ТАСС о неназванной группировке, члены которой во время компрометации корпоративных адресов электронной почты подключались к системе со своих IP-адресов, не используя, к примеру, VPN.
Схема, по словам Дащенко, заключалась во внедрении скомпрометированной учетной записи в бизнес-переписки для мониторинга деловых сделок. Эксперт заметил, что группировка оставляла свои логины и пароли, по которым их можно было легко раскрыть. Случай, уточнил представитель Kaspersky, произошел в течение последних двух месяцев, но название и происхождение хакеров он не назвал.