Архив

Спам как инструмент

По данным «Лаборатории Касперского», нашумевшая спам-рассылка с ложным «релизом» «Сургутнефтегаза» являлась массовой и проводилась с зомби-компьютеров, расположенных в разных странах мира, на множество адресов Рунета.

Напомним, что «пресс-релизы», разосланные в ночь с 3 на 4 июля от имени концерна и полученные многими российскими СМИ, инкриминировали первым лицам компании уклонение от уплаты налогов и сообщали о приостановлении оборота акций «Сургутнефтегаза» на биржах в связи с наложением ареста на часть корпоративных активов. 4 июня пресс-служба ОАО «Сургутнефтегаз» была вынуждена выступить с опровержением информации об аресте генерального директора и председателя совета директоров ОАО «Сургутнефтегаз» — Владимира Богданова и Николая Захарченко. Любопытно, что содержание писем напомнило политологам сообщения, рассылавшиеся в свое время относительно ЮКОСа, Лебедева и Ходорковского.

Представители «Сургутнефтегаза» пояснили, что незадолго до рассылки так называемого релиза корпоративный сайт оказался заблокирован в результате массовых некорректных запросов с различных IP-адресов. Злоумышленники осуществили спам-рассылку компрометирующей «Сургутнефтегаз» информации в то время, когда веб-ресурс был недоступен, и опубликовать на нем опровержение не было возможности.

Первоначальная интерпретация событий предполагала целевую рассылку по адресам российских СМИ. Однако спам-аналитики «Лаборатории Касперского» не подтвердили целевой характер рассылки: компромат был направлен на множество адресов Рунета (домены .ru и .su), в том числе и на «общие» адреса типа forum@…, info@…, admin@… и даже spam@…, т.е. рассылка была массовой; для ее осуществления использовались бот-сети, включающие компьютеры в разных странах мира. В самом фальшивом релизе логотипы «Сургутнефтегаза» подгружались с одного из южнокорейских сайтов. Таким образом, это была типичная спам-рассылка, и спам-фильтры, например, «Лаборатории Касперского», без запинки классифицировали рассылаемые письма как «спам».

С какой целью была проведена эта атака и кем? Анна Власова, руководитель группы спам-аналитиков «Лаборатории Касперского», отмечает, что «целенаправленные спам-атаки на конкретную компанию бывают двух видов. Во-первых, когда спам шлют на серверы атакуемой компании, и тем самым тормозят работу почтовых серверов вплоть до серьезных проблем с почтой. Во-вторых, это использование спама как инструмента «черного» PR, когда от имени компании рассылаются поддельные релизы, информация и т.п. Иногда такой спам маскируется под инсайдерскую информацию или личную переписку сотрудников компании или близких к этой сфере людей, «по ошибке» попавшую не к тому пользователю. Такие случаи пока единичные, из наиболее запомнившихся спам-аналитикам – «черные» PR-атаки на «Национальную коалицию против спама» и портал Sostav.ru в 2005 году».

По версии «Сургутнефтегаза», рассылка ложной информации являлась попыткой манипулирования фондовыми рынками. Ведь заявление о прекращении операций с акциями неизбежно приводит к соответствующему результату в финансовом секторе. В этом случае хакеры просчитались – никакого влияния на рынки рассылка не оказала.

Источник: «Лаборатория Касперского»

Источник: ВЗГЛЯД

Спам как инструмент

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике