В ходе мониторинга национального сегмента сети Интернет специалистами Национальной команды реагирования на киберинциденты Республики Беларусь (далее – CERT.BY) были получены экземпляры фишинговых сообщений, распространяемых злоумышленниками.
Анализ списка получателей показывает, что целевой аудиторией атаки выступают государственные организации, расположенные преимущественно в Гомельской области.
С учетом текущей внешнеполитической обстановки злоумышленник задействует приемы социальной инженерии, ориентированные на повышение доверия к письму. Для этого используется тема письма, имя отправителя, подпись, а также название вложения.
Технические подробности фишингового письма:
1. Date: 2025-07-17;
2. From: gomelvoenkom@mail[.]ru (Военным комиссариатом Гомельского района не используется);
3. Received: by f127.i.mail.ru with local (envelope-from <gomelvoenkom@mail[.]ru>) id 1ucJNk-0004Xb-ED,
Received: from f127.i.mail.ru (f127.i.mail.ru [45.84.128.36]);
4. Subject: ДЛЯ ОКАЗАНИЯ СОДЕЙСТВИЯ СОТРУДНИКАМ ВОЕННЫХ КОМИССАРИАТОВ;
5. Attachment: агитматериалы Военком.rar (md5: 312ba524eb5be87bc 4c37a2a82a7aaa0, на «VirusTota» информации по данному архиву на момент проверки по хешу не было): https://www.virustotal.com/gui/search/ 312ba524eb5be87bc4c37a2a82a7aaa0.
Внутри архива: агитматериалы+Военком.exe: PE32 executable (GUI) Intel 80386, for MS Windows (md5: 82b9fbd467ad1de2695f79 cba4137928, https://www.virustotal.com/gui/file/fa6d9528488ad2aca13f7ef 00f29b097af82fa5650a0658b427012bb4e808378).
При запуске экземпляра открывается документ-заглушка следующего содержания:
Технические подробности из анализа экземпляра:
1. Экземпляр является клиентом вредоносного программного обеспечения (далее – ВПО) «XenoRAT»: https://github.com/moom825/xeno-rat;
2. Для закрепления в системе используется встроенный компонент ОС Windows «Task Scheduler»: создается задача с именем «DocxReader Service»;
3. Копируется в директорию «Roaming» пользователя: C:\Users\<user_name>\AppData\Roaming\XenoManager\document.exe;
4. При открытии создается следующий файл: C:\Users\<user_name>\AppData\Local\Temp\document.docx;
5. Генерируется обращение к СС: 195.66.213[.]181:4444.
Возможности ВПО «XenoRAT» и механизм расширения функционала
В процессе анализа ВПО «XenoRAT» установлено, что по умолчанию инструмент обладает широким набором функций удаленного администрирования, в том числе:
- имитация «экрана смерти «Windows»;
- вывод произвольного текста в окне «MessageBox»;
- управление состоянием периферии (включение/выключение монитора, открытие/закрытие дисковода);
- получение изображения с веб-камеры;
- запись аудиопотока с микрофона;
- кейлоггинг;
- захват изображения экрана (screen recording);
- управление записями системного реестра;
- операции с файлами в системе;
- управление процессами;
- кража учетных данных;
- добавление в автозагрузку;
- перезагрузка или выключение системы.
За обработку команд в ВПО «XenoRAT» отвечает модуль «DllHandler», реализующий динамическую загрузку и выполнение кода из внешних библиотек. Каждая библиотека должна содержать класс «Plugin.Main» с методом «Run».
Благодаря такому механизму злоумышленники получают возможность разрабатывать и интегрировать дополнительные модули, расширяя функционал программы под конкретные цели атаки.
Рекомендации CERT.BY
Будьте внимательны: в последнее время фиксируется рост фишинговых атак, что связано как с расширением цифровизации, так и с недостаточной осведомленностью пользователей. Злоумышленники активно совершенствуют свои методы, применяя элементы социальной инженерии и поддельные веб-ресурсы. Только комплексный подход к обеспечению информационной безопасности позволяет снизить риски и минимизировать возможный ущерб.
Таким образом, CERT.BY рекомендует придерживаться следующих правил:
- Исключить использование «слабых» паролей, включая простые числовые последовательности, даты рождения, повторяющиеся символы или иные легкие комбинации;
- Отказаться от практики применения одного и того же пароля для различных сервисов и учетных записей;
- Проявлять особое внимание к содержимому электронных писем, в том числе от известных отправителей, поскольку их почтовые ящики могут быть подделаны либо скомпрометированы;
- Воздерживаться от перехода по гиперссылкам в письмах, вызывающих сомнения, а также от открытия вложений и особенно архивов, защищенных паролем, поступивших из ненадежных источников;
- При возникновении сомнений в подлинности или безопасности электронных сообщений, вложений либо ссылок незамедлительно обращаться за консультацией к специалистам по информационной безопасности или системным администраторам своей организации.
Кроме того, рекомендуется провести проверку информационных систем и персональных компьютеров на наличие указанных в статье признаков компрометации, а также следовать опубликованным рекомендациям и следить за обновлениями CERT.BY.
При обнаружении просим сообщить на электронную почту CERT.BY: support@cert.by.
Для удобства и своевременного оповещения о новостях подписывайтесь на нас в социальных сетях:
