Злоумышленники часто применяют иностранные инструменты удаленного доступа, чтобы закрепиться в инфраструктуре взломанной компании. Наиболее популярные программы для этого — TeamViewer, AnyDesk и AmmyAdmin. Ими же часто пользовались сами компании для различных бизнес‑целей, поэтому службы безопасности не могли блокировать такие программы. Однако сейчас многие российские организации переходят на отечественное ПО, поэтому стало возможным блокировать зарубежный софт, который могут использовать злоумышленники. Группировка Quartz Wolf адаптировала атаки: чтобы обойти традиционные средства защиты, она использует отечественные решения для удаленного доступа. Это повышает шансы атакующих оставаться незамеченными в инфраструктуре.
Злоумышленники рассылают фишинговые электронные письма от лица компании «Федеральный Гостиничный Сервис», которая помогает передавать сведения о регистрации и данных для миграционного учета в МВД. В сообщениях атакующие якобы уведомляют о вступивших в силу изменениях в процедуре регистрации, с которыми необходимо срочно ознакомиться по приложенной ссылке. Пользователь скачивает архив, открывает его и, сам того не зная, запускает вредоносный файл. При этом устанавливается российское решение для удаленного доступа «АССИСТЕНТ» — ПО, которое в собственных бизнес‑целях используют различные компании.
