СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
Артем
18 мая
#ИБ

Хакеры атакуют российские ИТ- и телеком-компании письмами о нарушении 152-ФЗ

Хакеры атакуют российские ИТ- и телеком-компании письмами о нарушении 152-ФЗ

изображение: grok

«Лаборатория Касперского» фиксирует новую волну вредоносных рассылок против российских ИТ- и телеком-компаний. Злоумышленники отправляют письма под видом уведомлений о нарушении закона о персональных данных и пугают получателей проверками, жалобами граждан и административным делом. Внутри архива с якобы материалами проверки скрывается бэкдор BrockenDoor, один из основных инструментов группировки BO Team.

Схема построена на теме знакомой российскому бизнесу. Федеральный закон №152-ФЗ «О персональных данных» давно стал чувствительной зоной для компаний, работающих с клиентскими базами, абонентами, корпоративными заказчиками, личными кабинетами и сервисами поддержки. Письмо о жалобах граждан и возможном разбирательстве выглядит достаточно убедительно для попадания мимо обычного спам-фильтра в голове сотрудника.

Интересно, что злоумышленники меняют легенду рассылок раз в несколько месяцев и точно попадают в актуальные регуляторные страхи отрасли.

В поддельных уведомлениях говорится о проведении проверки, выявлении нарушений и срочной необходимости направить пояснения. Получателя предупреждают о риске административного дела и ответственности за несвоевременный ответ. Для усиления давления авторы рассылки задают короткий срок реакции в несколько дней.

Тактика проста и опасна. Человек видит юридическую лексику и попадает под несколько одновременных триггеров:

  • ссылку на реальный федеральный закон 152-ФЗ;
  • угрозу санкций и административного дела;
  • имитацию официального тона уведомления;
  • короткие сроки для ответа регулятору;
  • упоминание жалоб граждан и проверки.

На подобном уровне вложение с «материалами проверки» начинает восприниматься как документ для срочной передачи юристам, руководителю или ИБ-службе.

Письмо содержит архив, защищённый паролем. Пароль указывается прямо в тексте сообщения. Подобный приём часто применяется в вредоносных рассылках, поскольку архив с паролем сложнее проверять автоматическими средствами защиты.

При распаковке архива и запуске файла на устройство устанавливается BrockenDoor. Бэкдор связывается с сервером злоумышленников и передаёт целый набор сведений о заражённой системе:

  • имя пользователя текущего сеанса;
  • информацию о компьютере и операционной системе;
  • список файлов на рабочем столе;
  • параметры окружения и сети;
  • признаки наличия защитных средств.

После первичной разведки операторы оценивают интерес заражённой машины. При подходящих под цели атаки параметрах BrockenDoor получает команды для дальнейших действий. Подобные команды могут включать развитие доступа, загрузку новых инструментов, разведку сети и закрепление.

Анна Лазаричева, спам-аналитик «Лаборатории Касперского», отмечает регулярное обновление злоумышленниками легенд вредоносных писем под актуальные для организаций темы. По словам Анны Лазаричевой, в конце 2025 года атакующие рассылали письма российским медицинским учреждениям от имени страховых компаний и больниц, затем переключились на промышленный сектор с темой нарушений техосмотра транспорта, а сейчас используют регуляторные требования в сфере связи, ИТ и массовых коммуникаций.

Анна Лазаричева также указывает на расчёт писем на страх последствий и ощущение срочности. Упоминание реальных законов, проверок и административной ответственности повышает шанс открытия вложения сотрудником. Для правдоподобия злоумышленники применяют домены, похожие на официальные адреса госучреждений.

Одна группа BO Team за полгода успела изобразить страховые компании, инспекторов ГИБДД и регулятора по персональным данным, и каждая легенда находила свою аудиторию.

Ранее «Лаборатория Касперского» сообщала о приходе хакеров в корпоративную почту под видом представителей правоохранительных органов. В тех письмах злоумышленники требовали якобы провести техническое исследование рабочего компьютера по инциденту ИБ. На деле цель сводилась к запуску вредоносной программы, разведке сети и подготовке к шифрованию инфраструктуры.

Новая рассылка с 152-ФЗ использует похожую психологию через разные виды давления:

  • следственное давление через якобы инцидент ИБ;
  • регуляторное давление через жалобы граждан;
  • юридическое давление через ссылку на закон;
  • временное давление через короткие сроки ответа;
  • репутационное давление через угрозу публичности.

В обоих вариантах злоумышленники забираются в привычную логику корпоративного документооборота.

Также ранее «Лаборатория Касперского» обнаружила атаку на разработчика DAEMON Tools. Через официальный сайт вендора распространялось легитимное ПО с бэкдором внутри. Подобный инцидент показывает другое направление той же проблемы.

Злоумышленники ищут доверенные каналы доставки. Среди них официальные сайты, деловые письма, регуляторные уведомления, привычные документы и известные бренды. Доверие сотрудников к подобным источникам превращается в главный ресурс атакующих.

Эксперты редакции CISOCLUB отмечают, что новая кампания BO Team показывает точное использование злоумышленниками реальных страхов бизнеса. По мнению редакции, тема 152-ФЗ, персональных данных, проверок и административной ответственности отлично подходит для давления на ИТ- и телеком-компании. Вредоносное письмо выглядит рабочим документом, архив с паролем — служебным вложением, а BrockenDoor превращает обычное открытие файла в точку входа для дальнейшей атаки. Защита от подобных кампаний требует не только технических средств, но и обучения сотрудников распознавать поддельные регуляторные уведомления, проверять отправителей через официальные каналы и не открывать архивы с паролями из недоверенной почты.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: