В России обнаружили новую кибератаку на госсектор

Эксперты центра исследования киберугроз Solar 4RAYS ГК «Солар» обнаружили новую целевую атаку восточно-азиатской группировки Erudite Mogwai на одно из госведомств. Хакеры рассылали его сотрудникам фишинговые письма от имени подрядчика с требованием проверить корпоративные информационные ресурсы на предмет киберугроз. 

По данным Hi-Tech Mail, один из городских департаментов хакеры атаковали в мае 2025 года. ИБ-сотрудники организации получили фишинговое письмо с почтового домена ранее скомпрометированного подрядчика. Оно содержало требование принять дополнительные меры по обеспечению ИБ. Для этого хакеры попросили перейти по ссылке для предоставления информации о сотрудниках, которые имеют доступ к конфиденциальным данным компании. Ссылка в письме вела на сервис одноразовых ссылок организации-жертвы с архивом «Приложение.7z». 

Внутри архива было три файла: вордовский документ с анкетой сотрудника, имеющего доступ к секретной информации, PDF-файл с планом по ИБ на 2025 год и lnk-файл с программой-загрузчиком вредоноса, замаскированный под формат PDF с уведомлением о необходимости внутренней проверки. 

Эксперты Solar 4RAYS проанализировали фишинговое письмо и обнаружили аналогичную рассылку Erudite Mogwai на другие организации в 2024 году. Специалисты выяснили, что в хакерских атаках замаскированный lnk-файл загружал документ-приманку и программы для поэтапной загрузки вредоноса. При этом загрузчик имел механизмы для многоступенчатой проверки на запуск в виртуальной среде. Если вредонос обнаруживает, что запущен в «песочнице», он прекращает работу. Это сделано, чтобы скрыть атаку и затруднить анализ ВПО исследователями. 

Аналитики пришли к выводу, что атакующие, вероятно, сначала проводили пробные атаки и вносили в письма различные улучшения. Это говорит о том, что такой способ получения первоначального доступа к компьютеру эффективен. 

Согласно исследованию RED Security SOC, с января по сентябрь было обнаружено более 105 тысяч кибератак. Из них почти 20 тысяч инцидентов имели высокую степень критичности: они могли привести к длительному простою бизнеса или ущербу на сумму свыше миллиона рублей. Редакция IT Speaker ознакомилась с результатами исследования.