Компания F.A.C.C.T., занимающаяся информационной безопасностью, опубликовала на портале «Хабр» информацию о том, что киберпреступники рассылают российским компаниям троян DarkWatchman RAT под видом мобилизационных предписаний или повесток.
10 мая автоматизированная система защиты электронной почты Business Email Protection компании F.A.С.С.T. зафиксировала масштабную почтовую рассылку и заблокировала более 600 вредоносных писем, которые распространялись под видом мобилизационных повесток.
Письма направлены российским компаниям, HR-специалистам и секретарям якобы от имени Главного Управления Военного Комиссариата МО РФ с поддельного адреса электронной почты mail@voenkomat-mil.ru. В них говорится, что получатели обязаны явиться 11 мая к 8:00 в военкомат для проверки данных. В приложении якобы находится оригинал электронной повестки.
Однако на самом деле внутри zip-архива под названием «Мобилизационное предписание №5010421409-ВВК от 10.05.2023.zip» находился exe-файл, который при запуске устанавливал на компьютер жертвы троян удаленного доступа DarkWatchman RAT.
Ранее троян DarkWatchman RAT использовался хакерской группой Hive0117 в качестве разведывательного инструмента на первоначальной стадии атаки. В прошлом были зафиксированы рассылки с таким трояном, замаскированные под официальные сообщения Федеральной службы судебных приставов при правительстве России.
По данным F.A.С.С.T., потенциальными жертвами атаки могли быть банки, IT-компании, промышленные предприятия, компании малого и среднего бизнеса.