Хакеры стали применять российское ПО удаленного доступа

Киберпреступные группировки начали использовать программы удаленного доступа российского производства для целевых фишинговых атак, сообщают специалисты BI.ZONE. 

Эксперты компании отметили, что раньше злоумышленники использовали для проникновения зарубежные решения, например, AnyDesk, TeamViewer или AmmyAdmin. Однако сейчас зафиксировано применение российских аналогов, «первопроходцами» стали преступники из Quartz Wolf. 

Чтобы проникнуть в атакуемую сеть, злоумышленники рассылают в компании гостиничного бизнеса фишинговые письма от имени «Федерального Гостиничного Сервиса», который передает миграционные сведения в МВД. В тексте письма говорится о якобы новых правилах в процедуре регистрации, что должно вынудить пользователей скачать прикрепленный архив. Вместо списка новых правил сотрудники компаний скачивают ПО для удаленного доступа «АССИСТЕНТ». 

– Использование легитимных средств позволяет атакующим оставаться незамеченными в скомпрометированной сети продолжительное время, особенно если такое ПО уже используется организацией, – отметил руководитель управления киберразведки BI.ZONE Олег Скулкин. – На примере Quartz Wolf мы видим, что злоумышленники следят за трендами импортозамещения. Они меняют методы, чтобы их действия по‑прежнему выглядели как активность обычных пользователей. 

После того, как программа загружается на компьютер, злоумышленники получают доступ к системе и могут копировать различны файлы, использовать командную строку операционный системы, красть личные данные, а также совершать операции в банковских программах.