Шпионская группировка Squid Werewolf маскируется под HR-менеджеров, рассылая фишинговые письма с «вакансиями». Защититься помогут решения для фильтрации почты и данные киберразведки.
Кибергруппировки, специализирующиеся на шпионаже, часто используют фишинговые письма, маскируясь под регуляторов или госорганы. Однако Squid Werewolf пошла другим путем: злоумышленники притворились HR-менеджерами реальной крупной компании, чтобы атаковать свои цели.
Squid Werewolf — шпионский кластер, который атакует организации в Южной Корее, Японии, Вьетнаме, России, США, Индии, ОАЭ и других странах. В конце 2024 года группировка попыталась взломать одну из российских компаний. Злоумышленники отправили сотруднику фишинговое письмо с предложением рассмотреть вакансию в известной промышленной организации. В письме содержался ZIP-архив с файлом «Предложение о работе.pdf.lnk». Если бы жертва открыла вложение, на компьютер было бы загружено вредоносное ПО, дающее злоумышленникам доступ к конфиденциальным данным.
«Злоумышленники хорошо подготовились к атаке и предварительно собрали полезную информацию о сотруднике. Чтобы не вызвать подозрений у жертвы, атакующие добавили во вложенный файл информацию о зарплате, обещанной в письме. Кластер самостоятельно разработал вредоносный инструмент, а также наложил на него несколько слоев обфускации, то есть изменил код программы, чтобы ПО стало сложнее распознать. Все это затруднило обнаружение вредоносной активности».
Олег Скулкин, руководитель BI.ZONE Threat Intelligence
Атакующие все реже используют документы Microsoft Word и Excel, так как Microsoft блокирует выполнение макросов в файлах, скачанных из интернета. Вместо этого они предпочитают архивы с исполняемыми файлами, скриптами или ярлыками, которые сложнее обнаружить.
В 2024 году 57% целевых атак на российские компании начинались с фишинговых писем. Squid Werewolf демонстрирует, что злоумышленники постоянно совершенствуют свои методы. Чтобы защититься от таких атак, компаниям необходимо использовать современные решения для фильтрации почты и регулярно обновлять стратегии киберзащиты на основе актуальных данных.