Рассылку с вредоносом получили около 100 предприятий, в том числе из приборостроительной и машиностроительной отраслей
«Лаборатория Касперского» обнаружила новую волну целевых атак группы Head Mare на российские промышленные предприятия. По данным телеметрии компании, в марте 2025 года более 800 сотрудников из примерно сотни организаций получили рассылку, которая содержала ранее неизвестный вредонос. Среди целей злоумышленников оказались в том числе приборостроительная и машиностроительная отрасли.
Как происходит атака. Потенциальные жертвы — сотрудники промпредприятий — получают однотипные письма от некоего секретариата с ZIP-вложением. В них отправители просят адресата подтвердить получение информации и ознакомиться с прикреплённой заархивированной заявкой. Если пользователь откроет вложение, он увидит документ-приманку с запросом на ремонт оборудования якобы от одного из министерств. Однако на самом деле оно содержит вредоносный файл.
Вредоносная техника polyglot. Обычно злоумышленники отправляют запароленный архив, чтобы избежать его автоматического сканирования. На первый взгляд, так поступили и в новой кампании. Однако авторы рассылки использовали технику polyglot. Она позволяет атакующим создавать файлы, которые могут одновременно содержать и безобидные компоненты, и вредоносный код, в том числе на нескольких языках программирования. Один и тот же polyglot-файл может быть распознан системой как изображение, документ или исполняемый файл — в зависимости от контекста, в котором он открывается.
Чем заражали. Исполняемая часть polyglot-файла представляет собой ранее неизвестный бэкдор* PhantomPyramid, написанный на Python версии 3.8. Одним из загружаемых компонентов оказалось ПО MeshAgent — агент для удалённого управления устройствами с открытым исходным кодом, входящий в решение MeshCentral. Это легитимное ПО, которое используют не только официальные организации, но и злоумышленники. Например, ранее оно замечено в деятельности группы Awaken Likho.
«Новую волну целевых атак на промышленность с высокой степенью уверенности можно отнести к группе Head Mare. Мы видим, что злоумышленники постоянно обновляют приёмы и вредоносные программы, которые применяют в своих схемах. В этот раз группа использовала технику polyglot, которую мы раньше не видели в её арсенале, а также новый Python-бэкдор. Чтобы быть на шаг впереди злоумышленников, организациям важно иметь актуальные данные о киберугрозах, атакующих, а также их тактиках, техниках и процедурах. Эту информацию в том числе можно получать с помощью решений класса Threat Intelligence» — прокомментировал Артём Ушков, исследователь угроз в «Лаборатории Касперского».
Для защиты корпоративной инфраструктуры эксперты «Лаборатории Касперского» рекомендуют:
- регулярно обновлять программное обеспечение на всех устройствах, чтобы злоумышленники не смогли воспользоваться уязвимостями и проникнуть в корпоративную сеть;
- использовать надёжное защитное решение, эффективность которогоподтверждается независимыми тестами;
- применять комплексные защитные решения, такие какKaspersky Symphony, которые позволят выстроить гибкую и эффективную систему безопасности;
- обучать сотрудников цифровой грамотности. В этом помогут специализированные курсы или тренинги, например на платформеKaspersky Automated Security Awareness Platform;
- предоставлять сотрудникам отдела кибербезопасности возможность доступа к свежей информации о новейших тактиках, техниках и процедурах злоумышленников, например с помощью решенийThreat Intelligence.
*Вредоносная программа, которая предоставляет возможность дистанционного управления компьютером жертвы.
