APT-группа Kasablanka разослала троянские письма в российские госорганы

APT-группа Kasablanka разослала троянские письма в российские госорганы

APT-группа Kasablanka разослала троянские письма в российские госорганы

Китайская ИБ-компания QiAnXin рассказала об атаках на правительственные организации России, которые она зафиксировала в конце прошлого года. Злоумышленники использовали таргетированные имейл-рассылки и вложения в формате VHDX, содержащие RAT-трояна и маскировочный документ на русском языке.

Эксперты прилежно мониторят использование файлов ISO и VHD в кибератаках. Подобные контейнеры помогают злоумышленникам обходить антивирусы и такой защитный механизм Windows, как MOTW.

Разбор недавно собранных образцов вредоносных VHD-файлов показал, что в период с сентября по декабрь 2022 года на российские госорганы проводились атаки, нацеленные на засев троянов Warzone RAT, он же Ave Maria, и Loda RAT. Уровень детектирования некоторых семплов при этом составлял 0%.

Целевая атака обычно начиналась с поддельного письма, снабженного вложением с русскоязычным именем. В качестве примеров аналитики приводят образцы фальшивок, имитирующих внутренние рассылки Россотрудничества и Министерства внешних связей Астраханской области.

 

Все вредоносные вложения, загруженные на VirusTotal из российских регионов и найденные QiAnXin, использовали формат VHDX. Среди используемых приманок были обнаружены, например, такие документы:

  • справка от 2022 года о Турецкой Республике и ситуации в стране;
  • журнальная статья 2015 года об импортозамещении и миграционной политике;
  • постановление Правительства РФ от 20 октября 2022 года, устанавливающее правила предоставления отсрочки от призыва на военную службу;
  • копия справки-обоснования к проекту Цифрового кодекса Киргизии.

Автором целевых атак в России эксперты склонны считать марокканскую APT-группу, которой в Cisco присвоили имя Kasablanka. Ранее она атаковала похожие мишени в Бангладеш, Южной Америке и США.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Депутат Госдумы перевёл 5,8 млн по просьбе «помощника президента»

Суд приговорил Д. В. Корякина, участника организованной группы телефонных мошенников, к шести годам лишения свободы с отбыванием наказания в колонии общего режима. Участники группировки действовали с территории Украины и представлялись высокопоставленными должностными лицами.

Как стало известно ТАСС, одной из жертв преступников стал действующий депутат Государственной Думы.

Согласно материалам дела, преступная группа была создана не позднее сентября 2017 года. В распоряжении злоумышленников оказались телефонные номера — как мобильные, так и стационарные — руководителей и сотрудников органов власти разных уровней, от регионального до федерального.

Мошенники выходили на связь с чиновниками по телефону и через мессенджеры, представляясь сотрудниками Администрации президента и других государственных структур.

Они просили срочно перевести средства якобы на лечение тяжело больных детей. Деньги поступали на счета, подконтрольные участникам группировки.

Корякин присоединился к группе не позднее января 2022 года. Его задачей было получение банковских реквизитов для вывода украденных средств. В одном из эпизодов он под угрозами вынудил женщину предоставить данные счёта, которые затем передал подельникам.

Этот счёт использовался для проведения мошеннической операции, жертвой которой стал депутат Госдумы. Преступник, выдавая себя за помощника президента РФ, убедил парламентария перевести 5,8 миллиона рублей на «лечение ребёнка». В качестве «доказательства» он предоставил фальшивое письмо на официальном бланке. Корякин получил 305 тысяч рублей от этой суммы.

Суд признал Корякина виновным в совершении мошенничества по части 4 статьи 159 УК РФ. Приговор — шесть лет лишения свободы. Попытки осуждённого обжаловать решение, ссылаясь на якобы незначительную роль в преступлении, успеха не имели. Приговор вступил в законную силу.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru