Специалисты аналитического центра Solar 4Rays из группы компаний «Солар», занимающейся созданием комплексных систем кибербезопасности, провели расследование новой целевой операции восточноазиатской хакерской группы Erudite Mogwai против государственного учреждения. Злоумышленники направляли сотрудникам фиктивные сообщения, выдавая себя за контрагента с призывом провести аудит корпоративных информационных систем на предмет современных киберугроз. Примечательно, что вредоносный загрузчик из письма автоматически прекращает функционирование, как только определяет, что его анализируют в изолированном окружении. Сотрудники Solar 4Rays своевременно обнаружили опасную рассылку у клиента, изучили предыдущие фишинговые кампании этой группировки и предотвратили потенциальный ущерб для ведомства.
Объектом нападения в мае 2025 года стал один из муниципальных департаментов. Сотрудникам службы информационной безопасности поступило фишинговое письмо с почтового домена ранее взломанного партнера, содержащее указание усилить меры защиты. Для этого злоумышленники предложили перейти по ссылке для предоставления сведений о персонале, имеющем доступ к закрытой информации организации. Указанная ссылка направляла на сервис временных адресов самой организации-мишени, где располагался архив «Приложение.7z».
Архив содержал три элемента: документ MS Word с формой для сотрудников, работающих с конфиденциальными данными; PDF-файл со стратегией кибербезопасности на 2025 год (загруженный с официального портала атакованной организации); и lnk-файл с вредоносным загрузчиком, замаскированный под PDF-документ с уведомлением о внутренней проверке. Специалисты по ИБ департамента выявили подозрительные действия и обратились в Solar 4Rays для экспертизы письма и вложений.
Аналитики Solar 4Rays изучили сообщение, подтвердили его фишинговую природу и выявили схожую рассылку Erudite Mogwai на другие структуры в 2024 году. Эксперты установили, что как в инциденте 2025 года, так и в прошлогодних кампаниях замаскированный lnk-файл инициировал загрузку документа-приманки и компонентов для поэтапной установки вредоносного ПО. Загрузчик был оснащен механизмами многоуровневой проверки окружения: при обнаружении признаков виртуальной среды программа прекращала работу. Этот прием позволяет скрыть атаку и усложнить анализ зловредного кода исследователями.
В ходе прошлогодней кампании загрузка файлов осуществлялась через ранее скомпрометированный легитимный ресурс частного образовательного учреждения, что повышало уровень доверия со стороны атакуемой компании. Расследование инцидентов прошлого года также показало, что используемое вредоносное ПО представляло собой бэкдор — инструмент для удаленного управления зараженным компьютером. При этом активация зловреда происходила не мгновенно, а через несколько часов после загрузки файлов, что существенно осложняло обнаружение компрометации.
Согласно анализу корреспонденции, направленной в ведомство в 2025 году, а также схожих рассылок предыдущего года, злоумышленники, по-видимому, изначально тестировали свои подходы и последовательно улучшали содержание писем. Это подтверждает, что подобный метод получения первоначального доступа к системам остается действенным. Группировка Erudite Mogwai продолжает оттачивать фишинговые техники, и в 2025 году можно ожидать новых аналогичных кампаний, что создает дополнительные риски для российского бизнеса.
Эксперты Solar 4Rays считают, что за кибератаку на государственные структуры в 2025 году ответственность несет азиатская группа Erudite Mogwai, что подтверждается рядом характерных признаков. Среди них — использование серверного импланта, связанного с данной группировкой, а также присвоение импланту и фреймворку литературных имен — Пиноккио и Гермес. Ранее эти хакеры уже применяли отсылки к вселенным Гарри Поттера и Лавкрафта.
«По нашим данным, Erudite Mogwai демонстрируют высокую степень осторожности. С каждой новой атакой они усложняют свои методы, стремясь избежать обнаружения. Для противодействия таким угрозам мы советуем российским компаниям тщательнее проверять письма от контрагентов, содержащие ссылки для скачивания архивов. Особенно настораживает, если ранее партнеры не запрашивали загрузку файлов», — отметил Алексей Вишняков, технический директор центра исследования киберугроз Solar 4Rays ГК «Солар».
Сотрудники Solar 4Rays разместили в своем блоге индикаторы компрометации, связанные с деятельностью группировки — это позволит отечественным организациям выявлять и пресекать вредоносные действия злоумышленников в корпоративных сетях.
