Специалисты обнаружили масштабные атаки группировки Lone Wolf, нацеленные на российские логистические, производственные, финансовые организации и компании из сферы розничной торговли. Сообщается, что злоумышленники реализовали как минимум четыре массовые фишинговые рассылки с 21 по 28 июля.
Эксперты управления киберразведки Bi.Zone пишут, что письма хакеров отправлялись по базам корпоративных электронных адресов от имени АО «ТАИФ‑НК», ДЦ «Автосалон 152», «Русагро-Приморье» и УФАС России по Магаданской области.
В трех из четырех рассылок преступники уведомляют получателя о досудебной претензии и требуют в короткий срок погасить задолженность по договору, включая пени за просроченную оплату. В противном случае хакеры угрожают обратиться с исковым заявлением в арбитражный суд. Все документы, свидетельствующие о задолженности, прилагаются к письму.
В четвертой рассылке, написанной от лица Магаданского УФАС России, содержится копия постановления без дополнительных разъяснений.
Вложения в выявленных рассылках назывались «Досудебное.doc», «пп-ас32-4783.doc» и «акт.xls». При открытии любого из них на устройстве запускалась цепочка команд, в результате чего злоумышленники загружали в систему жертвы маяк Cobalt Strike.
Исследователи предупреждают, что в зависимости от целей атакующих запуск Cobalt Strike может привести к краже чувствительных данных или их шифрованию, а в ряде случаев — к похищению денег со счетов организации.