В России выявили атаку восточноазиатской хакерской группировки Erudite Mogwai, направленную на госсектор. Злоумышленники рассылали сотрудникам атакованного предприятия фишинговые письма с вредоносным файлом, маскируясь под подрядчика организации и требуя проверить корпоративные ресурсы на наличие киберугроз. Об этом «Газете.Ru» рассказали в пресс-службе компании «Солар», специалисты которой и зафиксировали инцидент.
В письмах содержалась ссылка на архив «Приложение.7z» с тремя файлами: анкетой сотрудника, легитимным PDF-документом и вредоносным файлом, замаскированным под уведомление о проверке. Программа-загрузчик обладала механизмами обнаружения виртуальных сред и прекращала работу при анализе в «песочнице» (изолированное цифровой среде, которая используется для анализа поведения ПО с целью обнаружения вредоносов, – «Газета»), что затрудняло обнаружение угрозы.
Интегрированный в «Приложение.7z» вредонос представлял собой бэкдор. С его помощью хакеры потенциально могли удаленно управлять зараженным компьютером и получать доступ к хранящейся в нем информации.
Рассылка была зафиксирована в мае 2025 года. В компании описали жертву как «один из городских департаментов».
Эксперты «Солар» установили связь с аналогичными атаками 2024 года, где использовался тот же метод доставки вредоноса через скомпрометированные образовательные ресурсы. Тогда группировка Erudite Mogwai применяла многостадийную загрузку с отсрочкой активации бэкдора, что усложняло обнаружение атаки.
Специалисты рекомендуют организациям усилить проверку писем от подрядчиков с ссылками на архивы, особенно при отсутствии прецедентов подобных запросов в истории взаимодействия.
Ранее россиянам рассказали о таинственном чипе в картриджах для принтеров.