Positive Technologies рассказала об актуальных киберугрозах для российских компаний

Эксперты Positive Technologies выявили фишинговую рассылку от имени популярного российского сервиса для поиска работы. Письма маскировались под официальные уведомления от платформы и содержали угрозы блокировки аккаунта. Об этой и других целевых кибератаках на коммерческие и государственные организации России Positive Technologies рассказала в своем отчете за первый квартал 2025 года. 

Департамент Threat Intelligence экспертного центра безопасности Positive Technologies (PT ESC TI) зафиксировал в начале марта фишинговые письма, вероятно нацеленные на HR-отделы российских компаний. Злоумышленники использовали две ссылки: одна (для смены пароля) вела на легитимный сайт с вакансиями, что создавало иллюзию достоверности, а вторая (для «подтверждения личности») — на мошеннический ресурс. Успешная атака могла привести к утечке конфиденциальной информации, которую обычно обрабатывают HR-специалисты, и дальнейшему использованию скомпрометированных аккаунтов для новых атак.

Другая хактивистская активность в адрес государственных и коммерческих организаций была зафиксирована PT ESC TI с использованием имени органов ФСБ России. Злоумышленники отправляли фишинговые документы, представляющие собой фиктивные приказы о проведении проверок компаний-адресатов. Сами письма и вложения не содержали вредоносной нагрузки, поэтому не детектировались антивирусными решениями. О мошенническом характере документов свидетельствовали отсылки к несуществующему закону, указание некорректных должностей, использование поддельных подписей и подписантов, не имеющих отношения к указанному ведомству. Вероятно, злоумышленники рассчитывали развить диалог с жертвами и получить персональные данные сотрудников.

В конце февраля произошла еще одна атака с использованием имени ФСБ России. Эксперты PT ESC TI атрибутировали ее к группе кибершпионов PseudoGamaredon. При открытии зараженного файла на компьютере жертвы незаметно запускалось ПО для удаленного управления UltraVNC, с помощью которого атакующие получали возможность перехватывать пользовательские данные и потенциально выполнять дальнейшие вредоносные действия. Использование группировкой приманки, имитирующей официальную корреспонденцию от госструктур, может говорить о целенаправленном шпионаже или подготовке к масштабированию атаки.

Для предотвращения подобных атак эксперты рекомендуют организациям использовать антивирусные продукты, песочницы, например PT Sandbox, и средства защиты конечных устройств, например MaxPatrol EDR. Тщательно проверять сетевой трафик помогут решения класса NTA, такие как PT Network Attack Discovery. Специалисты также подчеркивают важность непрерывного мониторинга событий ИБ, который можно реализовать с помощью MaxPatrol SIEM.

Пользователям, в свою очередь, следует обращать внимание на отправителя электронных писем, особенно если с ним отсутствует история переписки, если он не является контрагентом, акцентирует внимание на срочности изучения документов, манипулирует названиями государственных учреждений, регуляторов, надзорных ведомств, а также если его электронный адрес зарегистрирован в нестандартной доменной зоне.

С полным списком целевых кибератак, инициированных различными хакерскими группировками в первом квартале 2025 года, можно ознакомиться в отчете. Исследование основано на данных из открытых источников, полученных с использованием внутренних систем PT ESC TI.