Специалисты центра исследования киберугроз Solar 4Rays зафиксировали целенаправленную атаку на одно из государственных ведомств. Злоумышленники рассылали сотрудникам фишинговые письма, маскируясь под организацию-подрядчика. В сообщениях содержалось требование проверить корпоративные информационные ресурсы на наличие новых киберугроз.

Архив с вредоносным содержимым включал три файла: анкету сотрудника с доступом к конфиденциальным данным, официальный план по информационной безопасности и замаскированный под PDF-документ загрузчик. Программа-загрузчик обладает механизмами обнаружения виртуальной среды анализа и прекращает выполнение при выявлении признаков исследования.

Анализ показал связь с кампаниями группировки Erudite Mogwai в 2024 году. В предыдущих атаках злоумышленники использовали скомпрометированные ресурсы образовательной организации для повышения доверия жертв. Основным вредоносным payload выступал бэкдор с отложенным запуском функций управления.

Для противодействия подобным инцидентам рекомендуется усилить проверку входящей корреспонденции от контрагентов, особенно содержащей ссылки на загрузку архивов. Solar 4Rays опубликовали индикаторы компрометации для обнаружения активности в корпоративных сетях.