Новая хакерская группировка атакует госорганизации РФ и Белоруссии
Государственные организации России и Белоруссии атаковала новая хакерская группировка Sticky Werewolf («Липкий оборотень»). Как сообщает газета «Известия», злоумышленники рассылают вредоносный документ, который заражает компьютеры и позволяет шпионить за сотрудниками ведомств.
Атакам подверглись администрация Красноярского края и Брестский исполнительный комитет. Кроме того, были зафиксированы зараженные исковые документы от имени Савеловского суда. Специалисты по информационной безопасности компании BI.ZONE отметили, что группировка активна по меньшей мере с апреля и за это время успела совершить более 30 атак.
Руководитель управления киберразведки BI.ZONE Олег Скулкин рассказал, что хакеры создают ссылки для мошенническим писем с помощью сервиса IP Logger. Он позволяет собирать информацию о кликнувших пользователях: время перехода, IP-адрес, страну и город, версию браузера и операционную систему. Это позволяет отсеять тех пользователей, которые им не интересны, и сосредоточить атаки на приоритетных системах. Кроме того, сервис позволяет использовать собственные доменные имена, что затрудняет распознавание фишинга.
Ссылки в письмах ведут на вредоносные файлы с расширениями .exe или .scr, которые замаскированы под документы Microsoft Word или PDF. В частности, таким образом была атакована администрация Красноярского края — им пришло фейковое предупреждение от МЧС. В Брестский исполнительный комитет пришел документ якобы от генеральной прокуратуры Белоруссии. Кроме того, мошенники отправляли зараженные файлы от имени Савеловского суда Москвы.
При открытии файла на устройство в фоновом режиме устанавливается NetWire RAT. Эта программа позволяет шпионить за пользователем: собирать информацию о системе, получать данные о нажатиях клавиш, записывать звук микрофона или видео с экрана и другое. Руководитель департамента информационно-аналитических исследований компании T.Hunter Игорь Бедеров считает, что «Липкие оборотни» действуют со стороны Украины. Так можно объяснить то, что шпионское ПО распространялось именно в ведомствах Союзного государства.