Эксперты F.A.C.C.T. зафиксировали атаку кибершпионов на военную базу России в Армении

Специалисты по кибербезопасности F.A.C.C.T. (бывшая Group-IB) обнаружили на платформе VirusTotal вредоносный файл, предполагаемой целью атаки которого является 102-я российская военная база в Армении, сообщила пресс-служба компании. 

Вредоносный файл был загружен на VirusTotal из Гюмри (Армения), где дислоцируется база. В качестве документа-приманки использовалось якобы представление к госнаградам, в том числе ордену Мужества, военнослужащих, отличившихся в ходе «военной спецоперации»* на Украине.

В F.A.C.C.T. уверены, что вредоносный файл связан с кибершпионской группой Core Werewolf (PseudoGamaredon), которая с 2021 года атакует объекты оборонно-промышленного комплекса и критической информационной инфраструктуры в России. В марте 2024-го, в частности, Core Werewolf атаковала российский НИИ, занимающийся разработкой вооружения, а в начале апреля — российский оборонный завод. В своей вредоносной деятельности группа использует программное обеспечение UltraVNC.

Глава отдела по анализу вредоносного кода департамента Threat Intelligence компании F.A.C.C.T. Дмитрий Купин уточнил, что вредоносный файл представляет собой самораспаковывающийся архив 7zSFX, предназначенный для скрытой установки и запуска легитимной программы удаленного доступа UltraVNC. По мнению эксперта, атака кибершпионов на 102-ю российскую военную базу в Армении могла начаться до 15 апреля 2024 года.

*Согласно требованию Роскомнадзора, при подготовке материалов о специальной операции на востоке Украины все российские СМИ обязаны пользоваться информацией только из официальных источников РФ. Мы не можем публиковать материалы, в которых проводимая операция называется «нападением», «вторжением» либо «объявлением войны», если это не прямая цитата (статья 57 ФЗ о СМИ). В случае нарушения требования со СМИ может быть взыскан штраф в размере 5 млн рублей, также может последовать блокировка издания.