Брянская транспортная прокуратура разъясняет: в последнее время участились случаи рассылки вредоносного программного обеспечения на электронную почту органов государственной и муниципальной власти, а также крупных государственных корпораций.
Данная рассылка производится различными хакерскими группировками, такими как:
— Silent Werewolf, которая осуществляются фишинговые рассылки электронных писем. Во вложениях указанных писем прикреплен вредоносный архив с наименованиями. Например, «запланированный_визит.zip», «измерения.zip», «обновление_сентябрь_2025.zip». Указанные архивы содержат вредоносный файл-ярлык с расширением «.lnk» и легитимный исполняемый файл-приманку. После запуска пользователем указанного файла-ярлыка осуществляется получение несанкционированного доступа к целевой системе;
— Vengeful Wolf, которая осуществляются фишинговые рассылки электронных писем под видом направления платежных документов в архиве. Во вложениях указанных писем прикреплен архив с наименованием «1.zip», содержащий документ-приманку с наименованием «Oбразeц.rtf» и исполняемый файл с наименованием «Aкт cвepки взaимopacчeтoв пo cocтoянию нa 28.05.2025 гoдa.scr». Указанный исполняемый файл является вредоносным программным обеспечением типа «троян удаленного доступа» (Revenge RAT);
— группировкой Head Mare (Rainbow Hyena), которая осуществляют фишинговые рассылки электронных писем. Во вложениях указанных писем прикреплены архивы с наименованием «Договор_РН83_37_изменения.zip», содержащие вредоносное программное обеспечение типа «бэкдор» (PhantomRemote), замаскированное под легитимные документы с использованием двойного расширения, например, «.xls.lnk». После запуска пользователем указанного файла осуществляется получение несанкционированного доступа к целевой системе;
— Core Werewolf, которая осуществляются фишинговые рассылки электронных писем от лица правоохранительных органов. Во вложениях указанных писем прикреплен вредоносный исполняемый файл с наименованием «Уведомление №221 о начале комплексной проверки согласно плану утечек8.exe». После открытия пользователем исполняемого файла осуществляется демонстрация документа приманки и внедрение вредоносного программного обеспечения типа «бэкдор»;
— ComicForm, которая осуществляются фишинговые рассылки электронных писем с прикрепленным архивом с наименованием «Акт_сверки pdf 010.rar», содержащие исполняемый файл с наименованием «Акт_сверки pdf 010.exe», который является вредоносным программным обеспечением типа «загрузчик». После запуска пользователем указанного исполняемого файла осуществляется загрузка и внедрение вредоносного программного обеспечения типа «стилер» (FormBook);
— NGC6061, которая осуществляются фишинговые рассылки электронных писем со следующими с тематиками: «Заявка на интервью!!!», «РУКОВОДСТВО ПОЛЬЗОВАТЕЛЯ Система электронного документооборота Минпромторга России 2025!», «Роспотребнадзор предупреждает о возможном распространении фейковых писем». Во вложениях указанных писем прикреплен архив с паролем, содержащий файл-ярлык с расширением «.lnk» и документ-приманку с наименованием «1.docx». После запуска пользователем указанного файла-ярлыка осуществляется загрузка и внедрение вредоносного программного обеспечения (Reverse Shell, Metasploit TCP Reverse).
Для предотвращения угроз безопасности, связанных с деятельностью указанных хакерских группировок по фишинговым рассылкам, необходимо принять следующие меры защиты:
- Производить проверку почтовых вложений с использованием средств антивирусной защиты. Для антивирусного средства KasperskyEndpointSecurity необходимо использовать функцию «Защита от почтовых угроз». Для того чтобы включить указанную функцию, необходимо перейти в настройки приложения и в разделе «Базовая защита» активировать функцию «Защита от почтовых угроз».
- Проверять имя домена отправителя электронного письма в целях идентификации отправителя. Для этого необходимо обращать внимание на наименование почтового адреса (домена), указанного после символа «@», и сопоставлять его с адресами (доменами) органов (организаций), с которыми осуществляется служебная переписка.
- Организовать получение почтовых вложений только от известных отправителей. Для этого необходимо организовать ведение списков адресов электронной почты органов (организаций), с которыми осуществляется взаимодействие.
- Не открывать и не загружать почтовые вложения писем с тематикой, не относящейся к деятельности органа (организации).
- Осуществлять работу с электронной почтой под учетными записями пользователей операционной системы с минимальными возможными привилегиями:для операционных систем семейства MicrosoftWindows ограничение привилегий можно осуществить через «Панель управления» — «Учетные записи пользователей» — «Управление учетными записями»; для операционных систем семейства Linux возможно использование команд chmod, chown, chgrp для разграничения прав доступа к файлам и директориям как отдельных пользователей, так и групп пользователей.