Как выяснили эксперты, атака начинается с рассылки электронных писем с польского домена. Внутри письма находится Excel-файл, открытие которого запускает процесс загрузки на компьютер трояна удалённого доступа Remcos RAT. Это вредоносное ПО позволяет хакерам действовать от имени легального пользователя: устанавливать программы, похищать или уничтожать корпоративные данные. Наибольшую опасность ситуация представляет для сотрудников, работающих в системе с правами администратора — в этом случае злоумышленники получают ключи ко всей ИТ-инфраструктуре компании.
География атак не ограничивается Россией. Специалисты GSOC выявили, что аналогичные письма массово получают организации в Южной Корее и других странах АТР. Злоумышленники «веерно» рассылают фишинговые письма на языках, соответствующих регионам жертв. Мишенями стали компании из сфер технологий (ИТ и ИКТ), логистики (транспортные компании и морские грузоперевозки), а также медицины, включая сектор ядерной медицины и производство медицинских изделий.
Для обхода систем защиты киберпреступники используют поддельные домены, искусно имитирующие адреса азиатских банков и других финансовых структур. Формально такие домены могут числиться «чистыми» в базах данных, однако письма, приходящие с них, могут нести угрозу.
Для бизнеса эта волна атак означает не просто риск заражения одного компьютера, а угрозу утечки коммерческой тайны, финансовых потерь и остановки операционных процессов. В текущих геополитических условиях использование хакерами азиатского следа усложняет выявление угрозы стандартными средствами, так как атака маскируется под рядовую деловую переписку с партнёрами из дружественных юрисдикций.
«Перед открытием документов, приложенных к письмам от внешних отправителей, тщательно анализируйте письма, в особенности — адрес отправителей. Если нет уверенности в отправителе — не открывайте вложения. Не работайте с почтой и с офисными документами с учётных записей с правами администратора и используйте средства защиты информации, способные замечать и предотвращать эксплуатацию уязвимостей. Одним из решений проблемы может стать подключение к коммерческому SOC, например GSOC. В экспертизе GSOC используется многолетний опыт компании "Газинформсервис", с применением широкого набора инструментов, от применения класса решений SIEM, например Ankey SIEM NG, до класса решений UEBA, таких как Ankey ASAP, которые не оставят без внимания подобные угрозы», — говорит Александр Михайлов, руководитель GSOC компании «Газинформсервис».
Эксперты подчёркивают: ключевым фактором защиты является «цифровая гигиена» и своевременное обновление офисного ПО. Уязвимость, которую эксплуатируют хакеры, устраняется обновлениями безопасности, выпущенными ещё в конце 2017 года. Использование устаревших и неподдерживаемых версий Microsoft Office кратно повышает шансы злоумышленников на успех.
