Весной 2025 года специалисты по информационной безопасности зафиксировали серию фишинговых атак, направленных на организации и их кадровые службы.
Злоумышленники маскировали свои письма под уведомления от популярных сервисов поиска работы, а также под официальную переписку от имени государственных структур, включая ФСБ.
По данным экспертов, одной из тактик стала рассылка писем с предупреждением о «блокировке аккаунта» на сервисе вакансий. Поддельные уведомления содержали две ссылки — одна действительно вела на реальный сайт, а вторая перенаправляла на фейковую страницу входа. Там ничего не подозревающий сотрудник мог ввести логин и пароль, после чего доступ к его аккаунту переходил к злоумышленникам.
Целями атак становились HR-специалисты, чьи учетные записи могут дать хакерам доступ к конфиденциальной информации о сотрудниках и процессах внутри компании. Эти данные затем могут использоваться для более глубоких атак — например, от имени внутренней службы для обмана других работников.
Параллельно выявлены случаи, когда в организации поступали письма якобы от ФСБ. Тексты содержали ссылки или вложения, замаскированные под «приказы о проверке». Несмотря на то что вложения чаще всего были безвредны, сами письма создавали видимость легитимности, но выдавались по содержанию: в них встречались юридические несуразности, несуществующие должности и поддельные подписи.
Отдельный эпизод произошёл в феврале: рассылка от имени ФСБ содержала исполняемый файл, запускающий удаленное управление через UltraVNC. После установки вредонос открывал удалённый доступ к машине жертвы, позволяя злоумышленникам перехватывать данные и развивать атаку.
По мнению аналитиков, за такой активностью может стоять кибергруппа PseudoGamaredon — известная по операциям, в которых имитируются запросы от госорганов с целью шпионажа или кражи данных.
Злоумышленники маскировали свои письма под уведомления от популярных сервисов поиска работы, а также под официальную переписку от имени государственных структур, включая ФСБ.
По данным экспертов, одной из тактик стала рассылка писем с предупреждением о «блокировке аккаунта» на сервисе вакансий. Поддельные уведомления содержали две ссылки — одна действительно вела на реальный сайт, а вторая перенаправляла на фейковую страницу входа. Там ничего не подозревающий сотрудник мог ввести логин и пароль, после чего доступ к его аккаунту переходил к злоумышленникам.
Целями атак становились HR-специалисты, чьи учетные записи могут дать хакерам доступ к конфиденциальной информации о сотрудниках и процессах внутри компании. Эти данные затем могут использоваться для более глубоких атак — например, от имени внутренней службы для обмана других работников.
Параллельно выявлены случаи, когда в организации поступали письма якобы от ФСБ. Тексты содержали ссылки или вложения, замаскированные под «приказы о проверке». Несмотря на то что вложения чаще всего были безвредны, сами письма создавали видимость легитимности, но выдавались по содержанию: в них встречались юридические несуразности, несуществующие должности и поддельные подписи.
Отдельный эпизод произошёл в феврале: рассылка от имени ФСБ содержала исполняемый файл, запускающий удаленное управление через UltraVNC. После установки вредонос открывал удалённый доступ к машине жертвы, позволяя злоумышленникам перехватывать данные и развивать атаку.
По мнению аналитиков, за такой активностью может стоять кибергруппа PseudoGamaredon — известная по операциям, в которых имитируются запросы от госорганов с целью шпионажа или кражи данных.
