Хакеры пять раз отправляли фишинг сотруднику госучреждения — тот открыл все письма

Специалисты центра исследования киберугроз Solar 4RAYS провели расследование инцидента в одном из федеральных госучреждений, где была зафиксирована активность APT-группировки Cloud Atlas. В ходе кампании хакерам пять раз удалось добиться от сотрудника открытия вредоносных вложений с одного и того же устройства.

Как указывается в сообщении компании, группировка Cloud Atlas известна шпионскими операциями с 2014 года. Для первоначального взлома злоумышленники использовали фишинговые письма с документами Microsoft Office.

Первое письмо с файлом «О сотрудничестве.doc» было открыто сотрудником в апреле 2024 года. При запуске документа происходила загрузка удаленного шаблона с сервера атакующих, который эксплуатировал устаревшую уязвимость в компоненте Equation Editor Microsoft Office. Это позволяло запустить вредоносный код и загрузить на устройство троян VBShower.

Впоследствии пользователь открывал и другие фишинговые письма на темы «Новосибирский завод бытовой химии», «Бюджет на 2025 год» и «Оптимизация товарооборота», однако следов активности хакеров в системе не оставалось.

Последнее письмо содержало предложение о сотрудничестве от имени строительной компании Stramed. Вредоносный документ сработал по той же схеме и загрузил VBShower, после чего хакеры попытались установить другой вредонос — VBCloud. Запуск файла был заблокирован антивирусом. Сработавшая система мониторинга позволила учреждению запросить расследование инцидента.

В компании отметили, что в своей практике специалисты Solar 4RAYS столкнулись с таким количеством открытий фишинговых писем с одного устройства впервые.

«Облака — фундамент ИТ-инфраструктуры для стартапов и компаний нового формата. Это мировая тенденция повторяется и в России», — директор центра кибербезопасности Cloud.ru

Лица