Кибершпионаж на госбланке: PseudoGamaredon атакует через приказы ФСБ

Эксперты Positive Technologies выявили фишинговую рассылку от имени популярного российского сервиса для поиска работы. Письма маскировались под официальные уведомления от платформы и содержали угрозы блокировки аккаунта. Об этой и других целевых кибератаках на коммерческие и государственные организации России компания рассказала в отчёте за первый квартал 2025 года.

Департамент Threat Intelligence экспертного центра безопасности Positive Technologies (PT ESC TI) зафиксировал в начале марта фишинговые письма, предположительно нацеленные на HR-отделы российских компаний. В сообщениях использовались две ссылки: одна — для смены пароля — вела на легитимный сайт с вакансиями, что создавало иллюзию достоверности, вторая — для «подтверждения личности» — на мошеннический ресурс. Успешная атака могла привести к утечке конфиденциальной информации, обрабатываемой HR-специалистами, и последующему использованию скомпрометированных аккаунтов для новых атак.

Другая зафиксированная активность была связана с рассылкой писем от имени ФСБ России. Злоумышленники направляли фишинговые документы, оформленные как приказы о проведении проверок компаний-адресатов. Письма и вложения не содержали вредоносной нагрузки и не определялись антивирусными решениями. Однако в документах были указаны ссылки на несуществующий закон, некорректные должности и поддельные подписи, не имеющие отношения к ведомству. Предположительно, целью было начало диалога с жертвой и получение персональных данных сотрудников.

В конце февраля была зафиксирована ещё одна атака с использованием имени ФСБ России. Эксперты PT ESC TI атрибутировали её к группе кибершпионов PseudoGamaredon. При открытии вложенного файла на устройстве жертвы незаметно запускалось ПО удалённого управления UltraVNC, позволяющее атакующим перехватывать пользовательские данные и выполнять вредоносные действия. Использование приманки, имитирующей официальную корреспонденцию от госструктур, может свидетельствовать о целенаправленном шпионаже или подготовке к масштабированию атаки.

Также PT ESC TI отмечает, что угрозу для информационной безопасности организаций представляют не только хакеры. Специалисты регулярно фиксируют случаи, когда сотрудники служб ИБ направляют легитимные письма в публичные песочницы. Такие сообщения могут содержать учётные данные, пароли и ссылки на внутренние ресурсы компаний. При попадании этой информации к злоумышленникам существует риск компрометации корпоративных систем и кражи данных.

Для защиты от подобных инцидентов рекомендуется использовать песочницы, системы обнаружения атак на сеть и решения класса EDR . Также важны системы мониторинга безопасности и регулярное обучение сотрудников кибергигиене.