Компания «Солар» выявила и оборвала кибератаку группы Erudite Mogwai на одну из российских государственных организаций. Специалисты зафиксировали целенаправленные действия восточноазиатских злоумышленников.
Фишинг как инструмент атаки
Хакеры отправляли сотрудникам целевого предприятия поддельные письма. Маскируясь под подрядчиков, они требовали провести проверку корпоративных ресурсов на уязвимости, прикрепляя вредоносный файл.
Сложная маскировка угрозы
Письма содержали ссылку на архив «Приложение.7z». Внутри находились документы (анкета, PDF) и скрытый вредонос, замаскированный под уведомление. Загрузчик был оснащен механизмом обнаружения виртуальных сред («песочниц») и прекращал работу при анализе, препятствуя выявлению.
Защитные меры против угрозы
Вредоносный файл являлся бэкдором, дававшим злоумышленникам возможность удаленно управлять зараженной системой и получать доступ к конфиденциальной информации. Инцидент с рассылкой был актуален в мае 2025 года.
Эксперты «Солар» связали атаку с похожими событиями 2024 года, где использовались скомпрометированные образовательные платформы. Атакующими применялась многостадийная загрузка с отложенной активацией бэкдора, что затрудняло детектирование.
В целях защиты рекомендуется организациям усилить контроль за входящей корреспонденцией, особенно письмами от подрядчиков со ссылками на архивы, если такие запросы ранее не поступали.
