Известная вымогательская группировка OldGremlin, ранее атаковавшая российские компании в 2020-2022 годах, вновь активизировалась. Эксперты по кибербезопасности из компании FACCT обнаружили новую волну атак, в которых используется усовершенствованный инструмент под названием OldGremlin.JsDownloader. Эта находка вызывает серьезную обеспокоенность в сфере информационной безопасности, учитывая прошлый опыт группировки, когда суммы требуемых выкупов достигали миллиардов рублей.
Анатомия новой атаки: изощренный фишинг и мимикрия
Аналитики FACCT выявили сложную фишинговую кампанию, нацеленную на сотрудников российских компаний. Злоумышленники искусно имитировали коммуникацию от имени популярного сервиса электронного документооборота «Контур.Диадок». Письмо, якобы отправленное сотрудницей «Диадок», содержало вредоносную ссылку, ведущую к загрузке файла, замаскированного под счет-фактуру.
Технические детали атаки
После перехода по ссылке жертва загружает архив, содержащий LNK-файл. При его запуске происходит подключение к WebDav-серверу, контролируемому злоумышленниками. На компьютер жертвы загружается Node.js интерпретатор, который выполняет JavaScript-сценарий OldGremlin.JsDownloader. Этот вредоносный загрузчик способен выполнять произвольный JavaScript-код, полученный от командного сервера атакующих.
Инновации в тактике OldGremlin
Новая атака демонстрирует эволюцию методов OldGremlin. Использование JavaScript и Node.js позволяет злоумышленникам обходить традиционные средства защиты и усложняет обнаружение вредоносной активности. Примечательно использование криптографических методов для проверки подлинности команд и шифрования данных при обмене с командным сервером.
Механизм работы OldGremlin.JsDownloader
OldGremlin.JsDownloader работает по следующему алгоритму:
- Подключение к командному серверу
- Отправка случайно сгенерированных данных
- Проверка цифровой подписи ответа сервера
- Получение зашифрованных команд
- Расшифровка и выполнение полученного JavaScript-кода
Такой подход значительно усложняет анализ и блокировку вредоносного ПО, так как фактический вредоносный код не присутствует в исходном загрузчике.
Рекомендации по защите от атак OldGremlin
Для минимизации рисков от атак OldGremlin и подобных групп, организациям рекомендуется:
- Проводить регулярное обучение сотрудников по вопросам информационной безопасности
- Использовать современные средства защиты электронной почты и веб-фильтрации
- Внедрить строгие политики управления доступом и сегментации сети
- Регулярно обновлять программное обеспечение и операционные системы
- Иметь актуальные резервные копии критически важных данных
Возвращение OldGremlin с новым инструментарием подчеркивает необходимость постоянной бдительности и совершенствования систем кибербезопасности. Организациям следует быть готовыми к противодействию все более изощренным методам атак, используя комплексный подход к защите информационных активов. Только сочетание технических средств защиты, обучения персонала и грамотных организационных мер позволит эффективно противостоять современным киберугрозам.
