Кибершпионская группировка атаковала промышленные предприятия России

Российский разработчик технологий для борьбы с киберпреступлениями F.A.C.C.T. зафиксировал в январе 2025 г. массовые атаки кибершпионской группировки Rezet, также известной как Rare Wolf, на российские промышленные предприятия. За последнюю неделю января решение F.A.C.C.T. Managed XDR перехватило ряд вредоносных рассылок. Под видом приглашения на семинары по стандартизации оборонной продукции скрывались вредоносные файлы, открытие которых могло привести к заражению рабочих станций.

Rezet aka Rare Wolf – кибершпионская группа, активная с октября 2018 года. По данным исследователей, совершила около пятисот кибератак на российские, украинские и белорусские промышленные предприятия. Атакуют преимущественно с помощью фишинговых рассылок. В кампаниях 2021 и 2023 годов злоумышленники использовали для заражения устройств файл rezet.cmd, по которому исследователи и назвали группу.

В январе 2025 г. вредоносные рассылки производились, например, от имени компании, которая специализируется на сопровождении контрактов предприятиями – исполнителями гособоронзаказа. Объектами атаки стали предприятия химической, пищевой и фармацевтической промышленности. Письма выглядели как приглашения руководителей и специалистов на семинары по стандартизации оборонной продукции.

Rezet использовали технику заражения, схожую с прошлыми атаками. В первой рассылке внутри архива находился вредоносный файл, который содержал в себе файл-приманку в виде PDF-документа, а также полезную нагрузку. Пароль к архиву был указан в тексте письма. Такая техника применяется для обхода стандартных средств защиты. При запуске открывается PDF-документ для отвлечения внимания и происходит заражение системы.

Во второй и третьей рассылках, которые злоумышленники направили несколько дней спустя, в архиве находились уже два вредоносных файла, содержащие PDF-документ и полезную нагрузку. Открытие любого из них также приводит к заражению системы.