02/04/25
Эксперты RED Security SOC и компании CICADA8 сообщили о деятельности хакерской группировки, которая осуществляет целевые атаки на российские предприятия в сферах промышленности и машиностроения. Злоумышленники используют продвинутые фишинговые схемы для хищения учетных данных сотрудников. По данным специалистов, атаки уже затронули ряд крупных производственных организаций, пишет Securitylab.
На этапе подготовки киберпреступники анализируют кадровые перестановки внутри компаний — выясняют, кто недавно уволился, в каком подразделении он работал и кто мог с ним взаимодействовать. Затем на рабочие адреса его бывших коллег рассылаются письма, в которых злоумышленники представляются HR-специалистами компании, куда якобы устраивается уволившийся сотрудник. Получателя просят дать отзыв, перейдя по ссылке и авторизовавшись с помощью логина и пароля от корпоративной учетной записи.
Письма содержат достоверную информацию о бывшем сотруднике и направляются только тем, кто действительно мог с ним работать, что повышает степень доверия. После ввода данных на фишинговом ресурсе информация в реальном времени используется для доступа к ИТ-инфраструктуре предприятия. Если пароль введён неверно, отображается сообщение об ошибке, имитирующее поведение легитимного сервиса. Такая схема позволяет обходить технические меры защиты, включая двухфакторную аутентификацию, и дает злоумышленникам возможность оперативно развивать атаку, включая использование программ-вымогателей, до того как службы безопасности успевают отреагировать.
Атаки были зафиксированы исключительно в промышленности, что позволяет предположить наличие политически мотивированных целей, связанных с дестабилизацией отрасли.
