Азиатские хакеры Erudite Mogwai атаковали российский госсектор

В «Солар» выявили атаку хакеров Erudite Mogwai на компании РФ из госсектора Роман Кильдюшкин true true true

В России выявили атаку восточноазиатской хакерской группировки Erudite Mogwai, направленную на госсектор. Злоумышленники рассылали сотрудникам атакованного предприятия фишинговые письма с вредоносным файлом, маскируясь под подрядчика организации и требуя проверить корпоративные ресурсы на наличие киберугроз. Об этом «Газете.Ru» рассказали в пресс-службе компании «Солар», специалисты которой и зафиксировали инцидент.

В письмах содержалась ссылка на архив «Приложение.7z» с тремя файлами: анкетой сотрудника, легитимным PDF-документом и вредоносным файлом, замаскированным под уведомление о проверке. Программа-загрузчик обладала механизмами обнаружения виртуальных сред и прекращала работу при анализе в «песочнице» (изолированное цифровой среде, которая используется для анализа поведения ПО с целью обнаружения вредоносов, – «Газета.Ru»), что затрудняло обнаружение угрозы.

Интегрированный в «Приложение.7z» вредонос представлял собой бэкдор. С его помощью хакеры потенциально могли удаленно управлять зараженным компьютером и получать доступ к хранящейся в нем информации.

Рассылка была зафиксирована в мае 2025 года. В компании описали жертву как «один из городских департаментов».

Эксперты «Солар» установили связь с аналогичными атаками 2024 года, где использовался тот же метод доставки вредоноса через скомпрометированные образовательные ресурсы. Тогда группировка Erudite Mogwai применяла многостадийную загрузку с отсрочкой активации бэкдора, что усложняло обнаружение атаки.

Специалисты рекомендуют организациям усилить проверку писем от подрядчиков с ссылками на архивы, особенно при отсутствии прецедентов подобных запросов в истории взаимодействия.

Ранее россиянам рассказали о таинственном чипе в картриджах для принтеров.

Источник