SecAtor

Исследователи F.A.C.C.T. предупреждают о новых атаках со стороны кибершпионской группировки Rezet, также известной как Rare Wolf, нацеленной на промышленные предприятия в России я января 2025 года.

Только за последнюю неделю января в F.A.C.C.T. смогли перехватить ряд вредоносных рассылок.

Под видом приглашения на семинары по стандартизации оборонной продукции скрывались вредоносные файлы, открытие которых могло привести к заражению рабочих станций.

Rezet aka Rare Wolf - группа кибершпионажа, активная с октября 2018 года и причастная к совершению более пятисот кибератак на российские, белорусские и украинские промышленные предприятия.

Атакуют преимущественно с помощью фишинговых рассылок. В кампаниях 2021 и 2023 годов злоумышленники использовали для заражения устройств файл rezet.cmd, согласно которому исследователи и назвали группу.

В январе 2025 года вредоносные рассылки производились, например, от имени компании, которая специализируется на сопровождении контрактов предприятиями – исполнителями гособоронзаказа.

Объектами атаки стали предприятия химической, пищевой и фармацевтической промышленности.

Письма выглядели как приглашения руководителей и специалистов на семинары по стандартизации оборонной продукции.

Как отмечают в F.A.C.C.T., Rezet в новых атаках задействовала технику заражения, схожую с прошлыми атаками.

В первой рассылке внутри архива находился вредоносный файл, который содержал в себе файл-приманку в виде PDF-документа, а также полезную нагрузку. Пароль к архиву был указан в тексте письма.

Такая техника традиционно применяется злоумышленниками для обхода стандартных средств защиты.

При запуске открывается PDF-документ для отвлечения внимания, а в фоне происходит заражение системы.

Во второй и третьей рассылках, которые злоумышленники направили несколько дней спустя, в архиве находились уже два вредоносных файла, содержащие PDF-документ и полезную нагрузку.

Открытие любого из них также приводило к заражению системы.

Автоматизированные отчёты по рассылкам доступны здесь и здесь.

Хабр

Перезагрузка от Rezet: кибершпионская группировка снова атакует промышленные предприятия России

Аналитики Центра кибербезопасности компании F.A.C.C.T. зафиксировали в январе 2025 года массовые атаки кибершпионской группировки Rezet , также известной как Rare Wolf , на российские промышленные...

www.group-telegram.com/sa/true_secator.com/6691

6.7K viewsFeb 3 at 14:00

Исследователи F.A.C.C.T. предупреждают о новых атаках со стороны кибершпионской группировки Rezet, также известной как Rare Wolf, нацеленной на промышленные предприятия в России я января 2025 года.

Только за последнюю неделю января в F.A.C.C.T. смогли перехватить ряд вредоносных рассылок.

Под видом приглашения на семинары по стандартизации оборонной продукции скрывались вредоносные файлы, открытие которых могло привести к заражению рабочих станций.

Rezet aka Rare Wolf - группа кибершпионажа, активная с октября 2018 года и причастная к совершению более пятисот кибератак на российские, белорусские и украинские промышленные предприятия.

Атакуют преимущественно с помощью фишинговых рассылок. В кампаниях 2021 и 2023 годов злоумышленники использовали для заражения устройств файл rezet.cmd, согласно которому исследователи и назвали группу.

В январе 2025 года вредоносные рассылки производились, например, от имени компании, которая специализируется на сопровождении контрактов предприятиями – исполнителями гособоронзаказа.

Объектами атаки стали предприятия химической, пищевой и фармацевтической промышленности.

Письма выглядели как приглашения руководителей и специалистов на семинары по стандартизации оборонной продукции.

Как отмечают в F.A.C.C.T., Rezet в новых атаках задействовала технику заражения, схожую с прошлыми атаками.

В первой рассылке внутри архива находился вредоносный файл, который содержал в себе файл-приманку в виде PDF-документа, а также полезную нагрузку. Пароль к архиву был указан в тексте письма.

Такая техника традиционно применяется злоумышленниками для обхода стандартных средств защиты.

При запуске открывается PDF-документ для отвлечения внимания, а в фоне происходит заражение системы.

Во второй и третьей рассылках, которые злоумышленники направили несколько дней спустя, в архиве находились уже два вредоносных файла, содержащие PDF-документ и полезную нагрузку.

Открытие любого из них также приводило к заражению системы.

Автоматизированные отчёты по рассылкам доступны здесь и здесь.

BY SecAtor