Группа хакеров Head Mare провела масштабную кибератаку на российские предприятия, рассылая вредоносные письма с бэкдором PhantomPyramid. Целями стали более 100 компаний, включая ключевые отрасли промышленности.
«Лаборатория Касперского» зафиксировала новую волну целевых атак на российские промышленные предприятия. Группа Head Mare отправила вредоносные письма более чем 800 сотрудникам примерно сотни организаций, включая компании из приборостроительной и машиностроительной отраслей. Рассылка содержала ранее неизвестный бэкдор, замаскированный под легитимные документы.
Атака начинается с письма от якобы секретариата, в котором адресата просят подтвердить получение информации и ознакомиться с вложенной заявкой в ZIP-архиве. При открытии архива жертва видит документ, имитирующий запрос на ремонт оборудования от имени министерства. Однако файл содержит скрытую угрозу.
Злоумышленники использовали технику polyglot, позволяющую создавать файлы, которые одновременно выглядят как безобидные документы, изображения или исполняемый код. Это усложняет обнаружение угрозы системами защиты. Вредоносная часть файла — бэкдор.PhantomPyramid (вредоносная программа, которая предоставляет возможность дистанционного управления компьютером жертвы), написанный на Python 3.8. Он загружает легитимное ПО MeshAgent, которое часто используют для удаленного управления устройствами, в том числе киберпреступники, например, группа Awaken Likho.
Для защиты от подобных атак эксперты рекомендуют регулярно обновлять ПО, использовать проверенные защитные, обучать сотрудников киберграмотности и обеспечивать отделы безопасности актуальной информацией об угрозах.