Експерти з кібербезпеки виявили нову хвилю атак, спрямованих на російські компанії. Хакерське угруповання OldGremlin, відоме своїми масштабними вимаганнями в 2020-2022 роках, знову активізувалося, використовуючи вдосконалені методи та інструменти для проникнення в корпоративні мережі.
Аналіз нової фішингової кампанії
Аналітики компанії FACCT виявили нову фішингову кампанію, яка імітує легітимні повідомлення від сервісу електронного документообігу “Контур.Диадок”. Зловмисники використовують підроблений домен diadok[.]net для розсилки електронних листів, що містять шкідливе посилання. Ця тактика вже застосовувалася OldGremlin раніше, що дозволило експертам пов’язати нову атаку з цим угрупованням.
Механізм зараження
При переході за посиланням з фішингового листа жертва завантажує архів, який містить LNK-файл. Цей файл запускає послідовність дій, що призводить до завантаження та виконання нового шкідливого інструменту, названого OldGremlin.JsDownloader.
Технічний аналіз OldGremlin.JsDownloader
OldGremlin.JsDownloader – це JavaScript-сценарій, який виконується за допомогою Node.js інтерпретатора. Його основні функції включають:
- Підключення до командного сервера
- Відправку та перевірку підпису випадково згенерованих даних
- Отримання, розшифрування та виконання додаткового JavaScript-коду
Для шифрування даних використовується алгоритм RC4 з ключем, що генерується на основі MD5-хешу відправлених на сервер даних. Це забезпечує унікальність ключа шифрування для кожної сесії, ускладнюючи виявлення та аналіз шкідливого ПЗ.
Масштаби та цілі атак
Хоча повний масштаб нової кампанії OldGremlin ще не встановлений, відомо, що серед цілей є великі російські компанії, зокрема з нафтохімічної галузі. У попередні роки суми вимог хакерів сягали мільйонів рублів, а в 2022 році досягли рекордної позначки в 1 мільярд рублів.
Ця нова хвиля атак OldGremlin демонструє зростаючу складність та витонченість методів кіберзлочинців. Організаціям необхідно посилити заходи безпеки, зокрема навчання співробітників з розпізнавання фішингових атак, впровадження багатофакторної автентифікації та регулярне оновлення систем захисту. Тільки комплексний підхід до кібербезпеки може забезпечити ефективний захист від подібних загроз у майбутньому.