В России выявили новую кибератаку на госсектор

Эксперты центра исследования киберугроз Solar 4RAYS ГК «Солар», архитектора комплексной кибербезопасности, расследовали новую целевую атаку известной восточно-азиатской группировки Erudite Mogwai на одно из госведомств. Хакеры рассылали егосотрудникам фишинговые письма от имени подрядчика с требованием проверить корпоративные информационные ресурсы на предмет новых киберугроз. При этом программа-загрузчик вредоноса из письма прекращает работу сразу же, как только понимает, что ее проверяют в изолированной среде. В Solar 4RAYS вовремя отследили опасную рассылку на заказчика, смогли изучить более ранние фишинговые письма группировки и предотвратили возможный ущерб от атаки на ведомство.

Жертву — один из городских департаментов — атаковали в мае 2025 года. ИБ-сотрудникам организации прислали фишинговое письмо с почтового домена ранее скомпрометированного подрядчика, в нем было требование принять дополнительные меры по обеспечению ИБ. Для этого хакеры попросили перейти по ссылке для предоставления информации о сотрудниках, которые имеют доступ к конфиденциальным данным компании. Ссылка в письме вела на сервис одноразовых ссылок организации-жертвы с архивом «Приложение.7z».

Внутри архива было три файла: вордовский файл с анкетой сотрудника, имеющего доступ к секретной информации; PDF-файл с планом по информационной безопасности на 2025 год (загружен с официального сайта организации-жертвы), и lnk-файл с программой-загрузчиком вредоноса — он был замаскирован под формат PDF с уведомлением о необходимости внутренней проверки. ИБ-специалисты департамента заподозрили подозрительную активность и обратились к Solar 4RAYS с просьбой изучить письмо и файлы.