Эксперты GSOC предупредили бизнес о международной фишинговой атаке на Россию и Азию
В начале марта 2026 года специалисты центра мониторинга и реагирования на кибератаки GSOC компании "Газинформсервис" зафиксировали масштабную фишинговую кампанию, жертвами которой становятся компании в России и странах Азиатско-Тихоокеанского региона. Злоумышленники используют письма с вредоносными вложениями, чтобы получить полный контроль над корпоративными системами. Об этом сообщили специалисты GSOC .
Как , атака начинается с рассылки электронных писем с польского домена. Внутри письма находится Excel-файл, открытие которого запускает процесс загрузки на компьютер трояна удаленного доступа Remcos RAT. Это вредоносное ПО позволяет хакерам действовать от имени легального пользователя: устанавливать программы, похищать или уничтожать корпоративные данные. Наибольшую опасность ситуация представляет для сотрудников, работающих в системе с правами администратора — в этом случае злоумышленники получают ключи ко всей ИТ-инфраструктуре компании.
География атак не ограничивается Россией. Специалисты GSOC выявили, что аналогичные письма массово получают организации в Южной Корее и других странах АТР. Злоумышленники "веерно" рассылают фишинговые письма на языках, соответствующих регионам жертв. Мишенями стали компании из сфер технологий (ИТ и ИКТ), логистики (транспортные компании и морские грузоперевозки), а также медицины, включая сектор ядерной медицины и производство медицинских изделий.
Для обхода систем защиты киберпреступники используют поддельные домены, искусно имитирующие адреса азиатских банков и других финансовых структур. Формально такие домены могут числиться "чистыми" в базах данных, однако письма, приходящие с них, могут нести угрозу.
Для бизнеса эта волна атак означает не просто риск заражения одного компьютера, а угрозу утечки коммерческой тайны, финансовых потерь и остановки операционных процессов. В текущих геополитических условиях использование хакерами азиатского следа усложняет выявление угрозы стандартными средствами, так как атака маскируется под рядовую деловую переписку с партнёрами из дружественных юрисдикций.
"Перед открытием документов, приложенных к письмам от внешних отправителей, тщательно анализируйте письма, в особенности – адрес отправителей. Если нет уверенности в отправителе – не открывайте вложения. Не работайте с почтой и с офисными документами с учетных записей с правами администратора и используйте средства защиты информации, способные замечать и предотвращать эксплуатацию уязвимостей. Одним из решений проблемы может стать подключение к коммерческому SOC, например, GSOC. В экспертизе GSOC используется многолетний опыт компании "Газинформсервис", с применением широкого набора инструментов от применения класса решений SIEM, например, Ankey SIEM NG, до класса решений UEBA, таких как Ankey ASAP, которые не оставят без внимания подобные угрозы", — говорит Александр Михайлов, руководитель GSOC компании "Газинформсервис".
Эксперты подчёркивают: ключевым фактором защиты является "цифровая гигиена" и своевременное обновление офисного ПО. Уязвимость, которую эксплуатируют хакеры, устраняется обновлениями безопасности, выпущенными еще в конце 2017 года. Использование устаревших и неподдерживаемых версий Microsoft Office кратно повышает шансы злоумышленников на успех.
