Сотрудникам российских компаний начали приходить на электронную почту фальшивые мобилизационные предписания. Об этом сообщили специалисты компании (может означать: Компания (фр. compagnie) — название формирования, в России ей соответствует рота (пример, Лейб-компания)) по кибербезопасности F.A.С.С.T (бывшее российское подразделение Group-IB) в блоге на перрону «Хабр».
Эксперты зафиксировали вредоносную активность в среду, 10 мая, и заблокировали более 600 вредоносных сообщений. Послания направлялись российским компаниям (в том числе HR-специалистам и секретарям) от лица "Главного Управления Военного Комиссариата МО РФ" с фальшивого адреса mail@voenkomat-mil[.]ru.
Получателей призывали явиться в военкомат 11 мая к 8:00 для уточнения данных. Письма кормили ZIP-архив ("Мобилизационное предписание (юридический документ, требующий от человека или определённых органов и должностных лиц присутствовать в конкретном месте или выполнить определённые действия) №5010421409-ВВК от 10.05.2023.zip") с вредоносным файлом внутри — трояном удаленного доступа DarkWatchman RAT.
"Ранее он был примечен в кампаниях финансово-мотивированной группы Hive0117 и использовался злоумышленниками в качестве разведывательного инструмента на первоначальной стадии штурмы", — пояснили специалисты. Они допустили, что киберпреступники могли использовать этот вирус в качестве агентурного инструмента (технологическая оснастка, которая воздействует на предметы труда и изменяет их, предмет, орудие для производства каких-нибудь работ).
По данным F.A.С.С.T., потенциальными жертвами фишинговой атаки 10 мая могли быть банки, IT-компании, промышленные предприятия, а также компании небольшого и среднего бизнеса.