Group IB

НКЦКИ предупредил о кампании киберпреступников, направленной на внедрение вредоносного ПО Dark Crystal Rat в информационные системы российских организаций

21.03.2022
НКЦКИ предупредил о кампании киберпреступников, направленной на внедрение вредоносного ПО Dark Crystal Rat в информационные системы российских организаций

"Для распространения ВПО злоумышленники используют методы социальной инженерии, отправляя жертвам фишинговые электронные письма с вредоносными ссылками от имени федеральных органов исполнительной власти", - сообщает НКЦКИ.

При переходе по ссылкам на компьютер жертвы загружаются модули вредоносного ПО, которые имеют защиту от запуска в отладчике и виртуальной среде, собирают адреса криптовалютных кошельков, списки запущенных процессов, сетевые подключения, перечень USB-устройств, сведения об операционной системе, пишет SecurityLab.

"Собранные данные перенаправляются на подконтрольные злоумышленникам ресурсы",- уточнили в центре.

В НКЦКИ сообщили, что фишинговые письма приходят, в частности, с электронных адресов noreply@mvd.msk.ru ; noreply@fsbinfo.ru .

Примеры заголовков фишинговых писем:

  • «Приказ ФСБ РФ «Об утверждении Требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты»».
  • «Обеспечение национальной безопасности Российский Федерации».

НКЦКИ рекомендует принять следующие меры по нейтрализации угрозы:

  1. Обеспечить регулярное обновление баз данных используемых средств антивирусной защиты до актуального состояния.
  2. Осуществлять оценку риска заражения ВПО путем анализа не только вложений в электронных письмах, но и содержащихся в них web-ссылок.
  3. Скачивать и открывать файлы только из проверенных источников.
  4. Проверить на ресурсах ИТС и в сетевом трафике наличие индикаторов вредоносной активности, представленных в бюллетене НКЦКИ.
  5. Проинформировать сотрудников организации об опасности перехода по ссылкам и открытия вложений в электронных письмах, полученных даже от известных отправителей.