Эксперты управления киберразведки BI.ZONE зафиксировали атаки новой группировки Quartz Wolf на гостиничный бизнес: против российских компаний впервые используется отечественное решение для удалённого доступа с целью обойти традиционные средства защиты, сообщает BI.ZONE в среду.

Как поясняют в BI.ZONE, злоумышленники часто применяют иностранные инструменты удалённого доступа, чтобы закрепиться в инфраструктуре взломанной компании. Наиболее популярные программы для этого — TeamViewer, AnyDesk и AmmyAdmin. Ими же часто пользовались сами компании (такие программы позволяют, в частности, сисадминам удалённо настраивать компьютеры сотрудников – ред.), поэтому службы безопасности не могли блокировать такие программы. Однако сейчас многие российские организации переходят на отечественное ПО, поэтому стало возможным блокировать зарубежный софт, который могут использовать злоумышленники. Группировка Quartz Wolf адаптировала атаки: чтобы обойти традиционные средства защиты, она использует отечественные решения для удалённого доступа. Это повышает шансы атакующих оставаться незамеченными в инфраструктуре.

Злоумышленники рассылают фишинговые электронные письма от лица компании «Федеральный Гостиничный Сервис», которая помогает передавать сведения о регистрации и данных для миграционного учета в МВД. В сообщениях атакующие уведомляют якобы о вступивших в силу изменениях в процедуре регистрации, с которыми необходимо срочно ознакомиться по приложенной ссылке. Пользователь скачивает архив, открывает его и добровольно запускает вредоносный файл. При этом устанавливается российское решение для удалённого доступа «АССИСТЕНТ» — ПО, которое используют многие компании.

Удалённый доступ позволяет атакующим перехватывать управление скомпрометированной системой, блокировать устройства ввода, копировать файлы, модифицировать реестр, использовать командную строку Windows и т. п. Это открывает широкие возможности злоумышленникам: от кражи учётных данных для входа в бизнес-системы и передачи данных клиентов на сторонний сервер до совершения операций в банковском ПО от имени жертвы.

Атакующие могут оставаться незамеченными в скомпрометированной сети продолжительное время, отмечается в сообщении.

Напомним, накануне «Лаборатория Касперского» сообщила, что злоумышленники начали активно распространять в мессенджерах модифицированные версии легитимных программ для удалённого доступа под видом приложений служб поддержки российских банков. Цель — получить доступ к онлайн-банкингу на устройствах с Android.