Тысячеликий злодей. Хакеры прикинулись HR-менеджерами

Хакеры из группировки Squid Werewolf атаковали одну из российских компаний, отправив ее сотруднику фишинговое письмо с предложением о работе. ООО "Бизон" (Bi.Zone) сообщило, что в письме злоумышленников был ZIP-архив с LNK-файлом "Предложение о работе.pdf.lnk", который запускал вредоносное программное обеспечение. Оно должно было дать группировке доступ к данным компании.

По словам руководителя Bi.Zone Threat Intelligence Олега Скулкина, хакеры сделали все, чтобы не вызывать подозрений. Они собрали полезную информацию о сотруднике и даже добавили во вложенный файл информацию о зарплате. Он отметил, что злоумышленники самостоятельно разработали вредоносный инструмент и наложили на него несколько слоев обфускации (запутывание кода для усложнения его идентификации), это затруднило обнаружение вредоносной активности.

"Squid Werewolf - это шпионский кластер, атакующий организации Южной Кореи, Японии, Вьетнама, России, США, Индии, ОАЭ и других стран. В конце 2024 г. злоумышленники попытались проникнуть в одну из российских компаний. Предположив, что на компьютере одного из сотрудников может находиться ценная информация, группировка отправила жертве фишинговое письмо с предложением рассмотреть вакансию в реальной промышленной организации", - говорится в сообщении компании.

https://www.comnews.ru/content/237629/2025-02-07/2025-w06/1008/appetity…

Олег Скулкин отметил, что обычно хакеры маскируют фишинговые письма под финансовую документацию (79%), такую как счета или платежные документы, договоры и соглашения (8%) или резюме от соискателей (5%). Он отметил, что около 4% фишинговых рассылок в СНГ выдают себя за сообщения от регуляторов.

"Фишинговые атаки от имени рекрутеров стали популярны с начала 2020 г., когда удаленная работа и собеседования онлайн стали превращаться в общемировой тренд. Однако для того, чтобы провести действительно результативную атаку, необходима серьезная предварительная подготовка, наличие знаний в области нанимаемого сотрудника, иногда и инсценировка собеседования. Подобные схемы нельзя отнести к массовым, и они применяется достаточно редко", - рассказал архитектор информационной безопасности ООО "Юзергейт" (UserGate) Дмитрий Овчинников.

По его словам, за 2024 г. компания зафиксировала несколько случаев, когда мошенники прикидывались рекрутерами и целенаправленно охотились на ИТ-специалистов. Дмитрий Овчинников отметил, что тогда фишинг не преследовал цели взломать инфраструктуру компаний. "Целенаправленные атаки на компании обычно проводит хакерская группировка с конкретными целями и задачами. Сами атаки могут отличаться по методике проникновения, но имеют системный характер и проводятся периодически", - добавил он.

https://www.comnews.ru/content/237781/2025-02-14/2025-w07/1018/khakery-…

"В атаках на компании злоумышленники нередко используют темы, связанные с подбором персонала, работой отделов кадров. В феврале 2025 г. российские организации атаковала новая версия бэкдора Merlin. Для распространения вредоноса использовался фишинг, а среди легенд встречались варианты, когда авторы просили отдел кадров предоставить характеристику на бывшего сотрудника, который в момент обращения якобы устраивался на ответственную должность в их компании. В таких письмах содержались вредоносные ссылки для скачивания архива с "резюме кандидата". После открытия документа-приманки начиналась загрузка бэкдора", - рассказал руководитель Kaspersky GReAT в России АО "Лаборатория Касперского" Дмитрий Галов.

Он отметил, что в конце 2024 г. эксперты компании обнаружили новую волну атак Operation DreamJob хакеров из группировки Lazarus. Они распространяли вредоносное ПО, с помощью которого заражали инфраструктуры компаний, под видом тестов на оценку навыков кандидатов на ИТ-позиции.

"Основная масса фишинговых атак проводится "по площадям" и рассчитана на то, что может задеть кого-то из тех, для кого она предназначена. За последние несколько лет, самыми популярными схемами были массовые рассылки от имени Налоговой службы РФ, Министерства Внутренних Дел РФ, Следственного комитета или спецслужб. Злоумышленники рассчитывают на испуг получателей и их желание получить подробности, пройдя по ссылке или скачав дополнительные материалы. Таким образом, мошенники охватывают максимальное количество потенциальных жертв", - сказал Дмитрий Овчинников.

https://www.comnews.ru/content/238053/2025-03-03/2025-w10/1018/vyyavlen…

"Команда Bi.Zone Threat Intelligence занимается поиском угроз, находит новые группировки, о которых нет информации в публичном пространстве. У каждого кластера активности есть индивидуальный почерк: набор методов, инструментов, своя инфраструктура. С помощью таксономии мы классифицируем эти кластеры. В таксономии Bi.Zone "оборотни" (Werewolves) - это злоумышленники, спонсируемые государствами. Они тайно похищают информацию. Цель "оборотней" - находиться в скомпрометированной инфраструктуре как можно дольше, выгружать не гигабайты баз данных, а конкретные документы. Фактически это разведывательные операции. На данный момент мы отслеживаем 66 кластеров, нацеленных на кибершпионаж", - заключил Олег Скулкин.