Новая волна кибератак на российский госсектор

Команда BI.ZONE обнаружила новую волну кибератак на госсектор России, за которой стоит группировка, обозначенная как Cavalry Werewolf. По информации экспертов, действия этой группы имеют схожесть с активностью YoroTrooper и другими известными кластерами, такими как SturgeonPhisher и Tomiris. Основной метод атаки — фишинговые письма, замаскированные под официальные сообщения от правительства Киргизии, нацеленные на российские госструктуры и организации в энергетике и промышленности. Злоумышленники использовали как поддельные, так и скомпрометированные адреса электронной почты. В письмах находились архивы RAR с вредоносным ПО FoalShell и StallionRAT, которое позволяет выполнять команды и передавать данные через Telegram-бота. BI.ZONE также отметила связь Cavalry Werewolf с казахстанской APT-группировкой Tomiris, что указывает на региональное происхождение атак. За последний год в даркнете были опубликованы данные о 500 российских компаниях, пострадавших от атак.