Лаборатория Касперского зафиксировала фишинговые письма под видом уведомлений о нарушении 152-ФЗ

«Лаборатория Касперского» зафиксировала новую серию целевых фишинговых атак, направленных на сегменты ИТ и телекоммуникаций. Вектор атаки строится на методах социальной инженерии: злоумышленники рассылают уведомления от лица государственных ведомств, эксплуатируя тему соблюдения 152-ФЗ «О персональных данных».

Механика атаки и инструменты злоумышленников

Схема выглядит стандартно для целенаправленного фишинга: получателю сообщают о якобы выявленных нарушениях закона и грядущем административном производстве. Для создания эффекта легитимности авторы писем используют формальный бюрократический стиль и ссылаются на действующие нормативно-правовые акты. Интрига заключается в срочности — сотрудникам предлагают оперативно предоставить пояснения, иначе последуют санкции.Приложение к письму представляет собой защищенный паролем архив. Пароль для его распаковки злоумышленники указывают непосредственно в теле сообщения. По сути, использование архива с паролем — это простой, но эффективный способ обойти автоматизированные средства защиты, которые не всегда могут просканировать «закрытый» контент на лету. После того как пользователь разархивирует файл, в системе разворачивается бэкдор BrockenDoor.Технически функционал BrockenDoor позволяет злоумышленникам собирать первичный футпринт системы: имя пользователя, конфигурацию железа, версию ОС и содержимое рабочих директорий. Если собранные данные представляют интерес, инфекция переходит в стадию пост-эксплуатации, где вредоносное ПО выполняет удаленные команды оператора, превращая скомпрометированный ПК в плацдарм для дальнейшего продвижения внутри корпоративной сети.

Эволюция угроз и активная деятельность BO Team

Согласно наблюдениям аналитиков, за бэкдором BrockenDoor стоит группировка BO Team. Эти хакеры примечательны тем, что постоянно меняют «легенды» своих рассылок. Если раньше акцент делался на сектор здравоохранения или промышленность, то теперь фокус сместился на ИТ-структуры.Проще говоря, злоумышленники адаптируют фишинговые сценарии под наиболее болезненные точки конкретной отрасли. Для промышленников это были вопросы техосмотра, а для телекома — регуляторика и защита данных. Применение доменов, имитирующих официальные государственные адреса, только усиливает доверие жертв к входящим сообщениям.

Рекомендации по нейтрализации рисков

Для противодействия подобным атакам эксперты рекомендуют комплексный подход, выходящий за рамки простого антивирусного ПО. Базовый уровень защиты включает внедрение решений, способных эффективно работать с запароленными архивами и использовать технологию Content Disarm and Reconstruction (CDR). Последняя удаляет потенциально опасный активный контент из файлов, сохраняя их работоспособность.На системном уровне рекомендуется использование Threat Intelligence — подписок на данные о киберугрозах. Это дает ИБ-командам понимание актуальных тактик, техник и процедур (TTP), которые используют группировки вроде BO Team. На практике это значит, что служба безопасности получает возможность настроить сетевые экраны и EDR-системы на выявление специфических паттернов поведения BrockenDoor еще до того, как они нанесут ущерб инфраструктуре. Фундаментом же остается обучение персонала: сотрудники должны критически оценивать запросы со странных адресов, даже если они выглядят как официальные постановления госорганов.