Solar 4RAYS выявила новую фишинговую атаку на госсектор

Эксперты центра исследования киберугроз Solar 4RAYS ГК "Солар" расследовали новую целевую атаку известной восточноазиатской группировки Erudite Mogwai на одно из госведомств. Хакеры рассылали его сотрудникам фишинговые письма от имени подрядчика с требованием проверить корпоративные информационные ресурсы на предмет новых киберугроз. При этом программа-загрузчик вредоноса из письма прекращает работу сразу же, как только понимает, что ее проверяют в изолированной среде. В Solar 4RAYS вовремя отследили опасную рассылку на заказчика, смогли изучить более ранние фишинговые письма группировки и предотвратили возможный ущерб от атаки на ведомство.

Жертву - один из городских департаментов - атаковали в мае 2025 г. ИБ-сотрудникам организации прислали фишинговое письмо с почтового домена ранее скомпрометированного подрядчика, в нем было требование принять дополнительные меры по обеспечению ИБ. Для этого хакеры попросили перейти по ссылке для предоставления информации о сотрудниках, которые имеют доступ к конфиденциальным данным компании. Ссылка в письме вела на сервис одноразовых ссылок организации-жертвы с архивом "Приложение.7z".

Внутри архива было три файла: вордовский файл с анкетой сотрудника, имеющего доступ к секретной информации; PDF-файл с планом по информационной безопасности на 2025 год (загружен с официального сайта организации-жертвы), и lnk-файл с программой-загрузчиком вредоноса - он был замаскирован под формат PDF с уведомлением о необходимости внутренней проверки. ИБ-специалисты департамента заподозрили подозрительную активность и обратились к Solar 4RAYS с просьбой изучить письмо и файлы.

Эксперты Solar 4RAYS проанализировали письмо, подтвердили фишинг и обнаружили аналогичную рассылку Erudite Mogwai на другие организации в 2024 г. Специалисты выяснили, что и в атаке 2025 г., и в прошлогодних рассылках замаскированный lnk-файл загружал документ-приманку и программы для поэтапной загрузки вредоноса. При этом загрузчик имел механизмы для многоступенчатой проверки на запуск в виртуальной среде. Если вредонос обнаруживает, что запущен в "песочнице", он прекращает работу. Это сделано, чтобы скрыть атаку и затруднить анализ ВПО исследователями.

Отдельно отметим, что в прошлогодней рассылке загрузка всех этих файлов выполнялась с заранее скомпрометированного легитимного ресурса негосударственной образовательной организации, что повышало доверие компании-жертвы. По атакам прошлого года эксперты также выяснили, что тем самым вредоносом был бэкдор — с его помощью хакеры и планировали удаленно управлять зараженным компьютером. При этом вредонос начинал выполнять функции не сразу, а спустя несколько часов после скачивания файлов – это значительно затрудняло обнаружение атаки.

По результатам исследования письма для департамента в 2025 г. и аналогичных рассылок из 2024 г. видно, что атакующие, вероятно, сначала проводили пробные атаки и вносили в письма различные улучшения. Это говорит о том, что такой способ получения первоначального доступа к компьютеру эффективен. Erudite Mogwai продолжают совершенствовать фишинговые письма, и в 2025 г. могут быть еще подобные рассылки, что может представлять угрозу для российских компаний.

По мнению экспертов Solar 4RAYS, за атаку на госсектор 2025 года ответственны злоумышленники из азиатской группировки Erudite Mogwai по ряду признаков, среди которых - применение импланта на сервере управления хакеров, имеющего связь с Erudite Mogwai, а также использование литературных названий для импланта и фреймворка - Pinocchio и Hermes соответственно. Ранее эта же группировка использовала фразы из произведений по вселенным Гарри Поттера и Лавкрафта.

"По нашим наблюдениям, Erudite Mogwai очень осторожны. Они с каждым разом усложняют атаку, пытаясь уйти от обнаружения. Для защиты от подобных атак мы рекомендуем российским организациям более внимательно относиться к письмам от подрядчиков, которые содержат в себе ссылки на загрузку архивов. Особенно такое письмо подозрительно, если раньше подрядчики не просили ничего загружать", - подчеркнул Алексей Вишняков, технический директор Центра исследования киберугроз Solar 4RAYS ГК "Солар".