Вход на сайт

Просмотр новости

Найдите то, что Вас интересует

Angara MTDR: зафиксирована новая фишинговая кампания на российские организации

Дата публикации: 08-07-2026 13:48:00

Специалисты Angara MTDR провели исследование новой фишинговой кампании хакерской группировки Rare Werewolf (также отслеживаемой...

Основное содержимое страницы с новостью.

08 Июля 2026 16:48 08 Июл 2026 16:48 |

Специалисты Angara MTDR провели исследование новой фишинговой кампании хакерской группировки Rare Werewolf (также отслеживаемой как Rezet, Librarian Ghouls). Злоумышленники рассылают вредоносное программное обеспечение под видом зашифрованного архива с договором и приложениями к нему, сообщение сопровождается имитацией деловой переписки. Об этом CNews сообщил представитель Angara Security.

Атака начинается с письма, которое содержит зашифрованный архив «Актуальная редакция Договора поставки N 8530-69 Исх. 755.rar». В нём находятся два файла, один из которых — исполняемый файл в формате .com — несёт основную вредоносную нагрузку. Загрузка компонентов во время атаки осуществляется в несколько этапов, на каждом из которых используются зашифрованные архивы для минимизации вероятности срабатывания средств защиты.

Исследованный экспертами Angara MTDR образец представляет собой средство первоначального доступа и постэксплуатации. Оно развёртывает легитимное средство удалённого администрирования AnyDesk, проводит автоматическую настройку постоянного удалённого доступа и извлекает сохранённые браузерные и почтовые учётные данные. Передача полученных сведений оператору осуществляется через SMTP-инфраструктуру злоумышленников. Во время атаки происходит ослабление механизмов защиты Windows и удаление большинства артефактов после завершения установки.

Фактически цепочка реализует установку удалённого доступа, кражу учётных данных и последующую зачистку следов присутствия, отметили в отделе реагирования и цифровой криминалистики Angara MTDR.

«Для повышения вероятности открытия вложения злоумышленники воспроизвели типичный сценарий рабочей переписки, из-за чего сообщение выглядит как продолжение уже существующего обсуждения или пересланная коллегами цепочка писем, — отметил эксперт Angara MTDR. — Важным элементом социальной инженерии стало добавление информации о цифровой подписи конкретного сотрудника и блока о проверке письма антивирусом. Всё это должно сформировать у получателя ложное ощущение безопасности и снизить настороженность при открытии вложения».

Эксперты Angara MTDR рекомендуют пользователям внимательно относиться ко всей приходящей корреспонденции, особенно от внешних адресатов, установить и регулярно обновлять антивирусы, использовать комплексную защиту корпоративной почты (включая защиту от фишинга) и комплексную защиту конечных устройств (решения класса EDR). Необходимо контролировать и по возможности ограничивать использование программ удалённого управления, включая AnyDesk, в корпоративной сети. Их эксплуатация позволяет злоумышленникам маскировать нелегитимные действия в атакуемой инфраструктуре под действия администратора, выполняющего свои функциональные обязанности.

При получении подобных фишинговых писем рекомендуется просканировать все узлы сети на предмет наличия индикаторов компрометации. Оставшиеся следы закрепления могут выступать в качестве маркера успешной атаки. Все доменные имена и IP-адреса злоумышленников должны быть заблокированы. Важно проверить почтовый сервер на наличие аналогичных писем путём поиска по заданной теме, отправителю или вложению. При обнаружении таких сообщений их необходимо удалить, чтобы исключить повторное открытие вредоносного содержимого другими пользователями.

Группировка Rare Werewolf (ранее известная как Rare Wolf и отслеживаемая под именами Librarian Ghouls, Librarian Likho, Rezet) — хакерская группа, которая проводит скрытные кибератаки на предприятия в России, Белоруссии и Казахстане как минимум с 2019 г. Эксперты Angara MTDR сообщали об активизации деятельности Rare Werewolf в сентябре 2025 г.

Другие материалы рубрики

Схожие новости

#Наименование новостиТональностьИнформативностьДата публикации
1Angara MTDR: зафиксирована новая фишинговая кампания на российские организации0808-07-2026
2«Лаборатория Касперского» предупредила о фишинговой кампании, злоупотребляющей механизмом авторизации Microsoft0707-07-2026
3Более двух третей российских компаний за год пострадали от фишинга – опрос компании «Газинформсервис»0718-06-2026
4Грушко: российские госучреждения и банки подвергаются мощнейшим хакерским атакам0015-11-2018
5В РФ выявлены случаи майнинга криптовалюты с помощью зараженных ресурсов госорганизаций0016-12-2019
6«Лаборатория Касперского»: группа вымогателей Gentlemen обновила инструментарий0729-06-2026
7Хакеры научились заходить в корпоративные аккаунты Microsoft без логина и пароля-2707-07-2026
8Эксперты зафиксировали массовую фишинг-рассылку на кредитно-финансовые организации РФ0018-01-2019
9Финансовые пирамиды и вредоносное ПО: как меняются схемы кибермошенников0518-05-2026
10Group-IB раскрыла русскоязычных хакеров, похищающих корпоративные данные по всему миру0013-08-2020

Классификация: Наука. Схожих патентов: 0. Схожих новостей: 10. Тональность: 0. Информативность: 7. Источник: www.cnews.ru.