Специалисты BI.ZONE Threat Intelligence заметили новую волну атак группировки Fluffy Wolf против российских компаний. Злоумышленники бьют по строительству, консалтингу, инжинирингу, ритейлу, e-commerce и промышленности, а заходят через письма с «претензиями» по оплате и «актами сверки».
Письмо выглядит буднично: вроде бы пишет подрядчик или партнёр, просит сверить документы и открыть вложение. На деле внутри лежит архив с малварью, а иногда ссылка ведёт на репозиторий, откуда жертва сама скачивает RAR-файл.
Как работает схема Fluffy Wolf
Смысл атаки прост: злоумышленники используют доверие к деловой переписке. Финансовая тема хорошо цепляет бухгалтерию, закупки и сотрудников, которые привыкли быстро открывать документы без лишних вопросов.
Отдельный риск — ссылки на GitHub. Такая подача выглядит правдоподобно и помогает увести письмо мимо почтовых фильтров. Об этом мы уже писали в разборе фишинговых приманок под крупные события: схема меняется, но цель одна — заставить человека самому запустить вредоносный файл.
Что именно тащат внутрь сети
Внутри архивов исследователи нашли загрузчики и дропперы для PureLogs, PureRAT и шифровальщика Pay2Key. Собственный инструментарий группа почти не пишет — она покупает готовые компоненты по модели malware-as-a-service, то есть «малварь-как-сервис».
Это снижает порог входа. Атакующим не нужно тратить месяцы на разработку: достаточно собрать набор из чужих модулей, запустить кампанию и ждать, пока кто-то откроет вложение.
Отдельно выделяется новый загрузчик PowerLoader. Он написан на C++, запускает PowerShell в скрытом режиме и подтягивает скрипты с управляющего сервера, после чего разворачивает следующую стадию атаки.
Какие варианты защиты реально работают
Первый слой — почтовая фильтрация и проверка вложений. Компаниям стоит жёстко ограничить макросы, запретить автоматический запуск архивов и настороженно относиться к письмам с финансовыми претензиями, даже если адресат видит знакомое имя отправителя.
Второй слой — обучение сотрудников. Бухгалтерии, юристам, закупкам и руководителям нужно отдельно проговорить, что «акт сверки» и «срочная претензия» не повод открывать архив в один клик. Здесь помогает короткий сценарий проверки: кто отправил письмо, был ли такой запрос раньше, совпадает ли домен и кто подтвердил документ по другому каналу.
Третий слой — сегментация и контроль прав. Если вредонос всё же попадёт на один компьютер, ему не стоит давать доступ к критичным серверам и сетевым папкам. В идеале у сотрудников должны быть только те права, которые нужны для работы.
Четвёртый слой — защита переписки и каналов связи, особенно для выездных сотрудников и командировок. Когда документы уходят через открытые сети в аэропортах, отелях или кафе, полезно заранее продумать дополнительную защиту трафика. Для этого можно использовать зашифрованный канал для рабочих поездок, чтобы снизить риск утечки данных вне офиса.
Кому какой подход подходит
Малому бизнесу обычно хватает базовой гигиены: фильтры почты, запрет на запуск подозрительных архивов, резервные копии и быстрый канал связи для перепроверки странных запросов. Это недорого и уже заметно режет риск.
Средним и крупным компаниям нужен более жёсткий набор мер: сегментация сети, контроль учётных записей, мониторинг запуска PowerShell и других админских инструментов, а также отдельные правила для файлов, пришедших из внешней переписки.
Если говорить о приоритетах, то ставить на первое место стоит не дорогие «чудо-средства», а дисциплину. Большинство таких кампаний начинается с письма, которое кто-то в компании поспешил открыть.
Что делать прямо сейчас
- Проверить, как в компании обрабатывают письма с архивами и ссылками на файлы.
- Запретить автоматическое открытие вложений из внешней переписки.
- Ограничить права пользователей на локальные и сетевые ресурсы.
- Обновить инструкции для бухгалтерии, закупок и юристов.
- Настроить резервное копирование и проверить, можно ли быстро восстановить данные.
- Попросить ИТ-команду отследить запуск PowerShell и похожих инструментов на рабочих станциях.
- Отдельно проверить защиту рабочих поездок и удалённой переписки через зашифрованный канал.
- Напомнить сотрудникам: документы с «претензиями» и «актами» нужно перепроверять по второму каналу связи.
Комментарии (0)
Будьте уважительны. Спам и ссылки на сторонние сервисы скрываются модерацией.
Пока комментариев нет. Вы можете быть первым.