Группа Lone Wolf запустила атаки с Cobalt Strike на российские компании

Кибергруппировка Lone Wolf запустила новые масштабные атаки на российские организации, занимающиеся логистикой и финансами. Злоумышленников также интересуют производственные компании и сфера розничной торговли.

Согласно данным управления киберразведки BI.ZONE, участники Lone Wolf организовали как минимум четыре массовые фишинговые рассылки в период с 21 по 28 июля.

Среди адресатов были исключительно корпоративные электронные адреса, а сами письма маскировались под сообщения от АО «ТАИФ-НК», ДЦ «Автосалон 152», «Русагро-Приморье» и УФАС России по Магаданской области.

В большинстве рассылок (три из четырёх) фишеры пытались испугать получателей досудебной претензией: требовали в максимально короткий срок погасить задолженность по договору, включая пени.

Если получившая претензию компания не выполнит эти условия, киберпреступники грозят обратиться с иском в арбитражный суд. Само собой, во вложении атакующие прикрепили «все документы, свидетельствующие о задолженности».

Ещё одна рассылка несколько отличалась от первых трёх. Это были письма якобы от Магаданского УФАС России, в которых содержалась копия поставления без дополнительных разъяснений.

Если невнимательные сотрудники клюнут на удочку и попытаются разобраться в ситуации, запустив прикреплённые вложения (Досудебное.doc, пп-ас32-4783.doc, акт.xls.), на компьютер загрузится маячок Cobalt Strike.

Как отметил Олег Скулкин, руководитель управления киберразведки BI.ZONE, детектирование активности Cobalt Strike может представлять проблему, поскольку часто этот инструмент применяется организациями в легитимных целях.