В BI.ZONE зафиксировали несколько атак кибергруппы, которую очень интересует военно-промышленный комплекс страны. Для проникновения в целевую инфраструктуру злоумышленники используют адресные рассылки и эксплойт CVE-2023-38831 для WinRAR. Фейковые сообщения распространяются от имени профильного регулятора. Вложенный архив обычно содержит маскировочное «официальное письмо» и папку с вредоносным CMD-файлом, который автоматически исполняется при попытке открыть документ-приманку. В результате на устройство жертвы устанавливается бэкдор RingSpy, управляемый с помощью бота Telegram. Удаленный доступ позволяет злоумышленникам выполнять команды в зараженной системе и выгружать файлы по выбору.
Юлия Парфенова, менеджер направления «контроль целостности» Efros Defence Operations, ООО «Газинформсервис» отмечает, что в защите любой инфраструктуры всегда важно просчитывать риски и знать все возможные пути входа злоумышленника в систему. «Важно помнить, что риски взлома и заражения системы можно снизить с помощью разных инструментов безопасности таких как мониторинг ИТ-инфраструктуры, а именно, выявление изменений, связанных с системными файлами, установкой новых ПО, созданием новых учетных записей, контроль на наличие известных уязвимостей, контроль конфигураций сетевого оборудования и контроль доступа в сеть. Такой комплексный подход обеспечит раннее обнаружение злоумышленника», – говорит Юлия Парфенова.