В январе 2025 года аналитики FACCT зафиксировали массовые атаки группировки Rezet (она же Rare Wolf) на российские промышленные предприятия. Только за последнюю неделю января компания перехватила ряд вредоносных рассылок. Малварь в них маскировалась под приглашения на семинары по стандартизации оборонной продукции.
Кибершпионская группировка Rezet активна с октября 2018 года. В кампаниях 2021 и 2023 годов злоумышленники применяли файл rezet.cmd, по которому исследователи и назвали группу.
По данным исследователей, она совершила около 500 кибератак на российские, белорусские и украинские промышленные предприятия. В своих атаках хакеры преимущественно используют фишинговые рассылки.
Исследователи пишут, что в январе 2025 года вредоносные рассылки осуществлялись, например, от имени компании, которая специализируется на сопровождении контрактов предприятиями – исполнителями гособоронзаказа.
Объектами атак на этот раз стали предприятия химической, пищевой и фармацевтической промышленности. Письма выглядели как приглашения руководителей и специалистов на семинары по стандартизации оборонной продукции.
Rezet использовала технику заражения, схожую с прошлыми атаками. В первой рассылке внутри архива находился вредоносный файл, который содержал в себе файл-приманку в виде PDF-документа, а также полезную нагрузку. Пароль к архиву был указан в тексте самого письма. При запуске открывался PDF-документ для отвлечения внимания, а также происходило заражение системы.
Во второй и третьей рассылках, которые злоумышленники направили несколько дней спустя, в архиве находились уже два вредоносных файла, содержащие PDF-документ и полезную нагрузку. Открытие любого из них тоже приводило к заражению системы.
