Квартальный отчет июнь 2025

Во втором квартале 2025 года группа киберразведки TI департамента Positive Technologies провела мониторинг и анализ активности хакерских группировок и сообществ, нацеленных на российские компании и организации. В результате сформирован отчет, систематизирующий выявленные инциденты и демонстрирующий примеры цепочек атак: какая группировка и каким образом осуществляет свои операции — от начального проникновения до развертывания вредоносного ПО.

В этом отчете мы стремимся донести результаты исследования до широкого круга читателей: от технических специалистов до руководителей бизнес подразделений. Мы не ставили цель охватить максимально большое количество инцидентов, а отобрали наиболее интересные, по нашему мнению, атаки, которые еще не описаны другими вендорами или рассмотрены под новым углом.

Основой нашего анализа стали данные из открытых источников, а также информация, полученная с помощью внутренних систем департамента Threat Intelligence Positive Technologies. Такой подход позволяет не только реконструировать ход каждой атаки, но и выявить характерные особенности работы хакерских группировок, что существенно повышает эффективность превентивных мер и реагирования на инциденты.

В конце марта 2025 года специалисты PT ESC зафиксировали целевую кампанию, в ходе которой злоумышленники с помощью фишингового письма активировали уязвимость CVE-2025-2783 в браузере Chrome. Об этом ранее сообщали коллеги из «Лаборатории Касперского», назвавшие эту операцию «Форумный тролль», однако последующая цепочка заражения осталась без атрибуции.

В ходе нашего исследования мы установили, что при переходе по ссылке эксплойт выводил процесс из песочницы и загружал бэкдор Trinper. Ранее мы установили прямую связь бэкдора Trinper с группировкой TaxOff, о чем подробно рассказали в статье «TaxOff: кажется, у вас... бэкдор».

Изучая эту атаку и инфраструктуру атакующих, мы обнаружили пересечения с группировкой Team46, про которую ранее рассказывали в статье на Хабре: обе группировки применяют одинаковые инструменты и параметры запуска PowerShell-скриптов.

Во всех случаях злоумышленники использовали команду вида

Эта команда позволяет скрыть окно исполнения, обойти ограничения политики выполнения и сразу же загрузить и выполнить код с удаленного сервера.

В феврале 2024 года хакеры Team46 запускали скрипт с адреса infosecteam.info/other.php?id, а в сентябре того же года перешли на srv510786.hstgr.cloud/ordinary.php?id. При этом синтаксис и структура URL остались теми же: передача уникального идентификатора жертвы через параметр id и запуск полученного кода командлетом iex.

В октябре 2024 года группировка, называвшая себя TaxOff, применила аналогичную команду: запуск через -w minimized, загрузка скрипта с домена ms-appdata-query.global.ssl.fastly.net/query.php?id и мгновенный вызов iex. Несмотря на смену регистрации опций и адреса, общая логика — «скачать по ссылке и сразу выполнить» — сохранилась без изменений.

При сравнении этой атаки и более ранних операций Team46 мы также отметили схожесть векторов атаки: в обоих случаях злоумышленники рассылали фишинговые письма со ссылками, а также использовали эксплойты нулевого дня для браузеров. В текущей кампании эксплуатируется уязвимость в Chrome (CVE-2025-2783), а в предыдущих операциях Team46 применялся DLL hijacking в «Яндекс Браузере» (CVE-2024-6473), когда вредоносная DLL, помещенная в каталог с более высоким приоритетом загрузки, подменяла легитимный модуль и обеспечивала выполнение произвольного кода с правами браузера.

Единообразие в использовании параметров PowerShell, паттерна URL с параметром id, а также схожие векторы атак указывают на то, что TaxOff, скорее всего, — это переименование или ответвление инфраструктуры Team46. Подробнее об этом вы можете узнать в нашей статье «Team46 и TaxOff: две стороны одной медали».

Группировка PseudoGamaredon на протяжении 2-го квартала 2025 года продолжала активно использовать проверенные тактики социальной инженерии и удаленного доступа для проникновения в сети промышленных и оборонных компаний. Специалисты киберразведки Positive Technologies зафиксировали несколько новых образцов вредоносов, маскируемых под легитимные документы: среди наиболее часто встречающихся названий — «Спецификация 13_ Гидравлика» и «Отсканированные документы — Срочно на доклад продвижение противника [дд_мм_гг]».

После запуска таких файлов жертва видит документ-приманку, в то время как в фоновом режиме на систему устанавливается клиент UltraVNC. Это позволяет злоумышленникам незаметно получить удаленный доступ к рабочей станции и далее перемещаться по корпоративной сети.

Тематика используемых приманок отчетливо указывает на интерес к предприятиям оборонно-промышленного комплекса и смежных отраслей, что согласуется с предыдущими наблюдениями за этой группировкой. При этом общая схема атаки (спам-рассылка, атака через вредоносный файл-приманку, установка VNC-бэкдора) и инструментарий остались без существенных изменений, что позволяет PseudoGamaredon быстро тиражировать свои операции и сохранять непрерывность кампаний даже при непрерывном обновлении антивирусных баз.

TA Tolik — это условное название группировки, активность которой была впервые зафиксирована в сентябре 2024 года экспертами «Лаборатории Касперского» в рамках описания скрытной кампании с применением ранее неизвестного стилера Unicorn. Целью злоумышленников изначально было целенаправленное хищение конфиденциальных данных, преимущественно из организаций государственного сектора.

Начиная с апреля 2025 года группа киберразведки PT ESC отмечает возобновление активности группировки. Анализ новых образцов вредоноса показал, что в основе деятельности группировки все еще лежит использование Unicorn, злоумышленники внесли лишь косметические изменения — изменили директории и названия скриптов, сохранив логику атаки.

Атаки традиционно начинаются с фишингового письма, внутри которого находится архив с HTA-файлом, маскирующимся под легитимный документ или уведомление от государственных служб. При запуске файл разворачивает на диске жертвы набор VBS-скриптов.

Для закрепления в системе злоумышленники добавляют свои VBS-скрипты в автозагрузку и создают задачи планировщика Windows. Новые записи, маскирующиеся под легитимные программы, автоматически запускают VBS-скрипты для проверки работоспособности и отправки собранных данных на командный сервер. 

Особенность Unicorn-стилера заключается в том, что основная вредоносная логика не находится прямо в теле HTA- или VBS-файлов. Вместо этого скрипты читают зашифрованные команды и модули из нескольких веток реестра, расшифровывают их и динамически загружают в память. Такой подход значительно затрудняет анализ и обнаружение, поскольку никакой подозрительный код не лежит в файлах на диске: он скрыт внутри реестра и активируется только в момент выполнения.

Во втором квартале в поле зрения группы киберразведки также попали LNK-файлы, устанавливающие связь с C2-сервером teiehram[.]org, зарегистрированным на то же лицо, что и vm-tiktok[.]org, о котором мы писали ранее в нашем Telegram-канале.

Особенность этих ярлыков заключается в явном тестовом характере: они используют параметр -NoExit и вставку Pause, не пытаются скрыть свое выполнение скрытым запуском PowerShell и не удаляют следы после работы. Для обеспечения однократного исполнения злоумышленники задействуют ключ RunOnce вместо Run. 

В описаниях ярлыков также встречаются записи на украинском языке: «Ярлик для запуску PowerShell команди RunScript.lnk», «Ярлик для запуску PowerShell команди» и «Ярлик для запуску PowerShell команди та відкриття Google».

При изучении ВПО, рассылаемого группировкой в адреса организаций военно-промышленного комплекса России, также было установлено, что электронный адрес 155ogvbrmp@bk.ru, с которого отправлялись фишинговые письма, привязан к номерной емкости украинского сегмента сети связи.

Согласно данным Whois для доменов, используемых группировкой, административный контакт зарегистрирован по адресу Vyshnyakivska 13 в Киеве, Киевская область, а в качестве контактного телефона указан номер +380 684 496 267.

Группировка Sapphire Werewolf впервые привлекла к себе внимание в марте 2024 года, когда начался массовый цикл атак с использованием стилера Amethyst Stealer.

Во втором квартале аналитики киберразведки Positive Technologies зафиксировали серию целевых атак группировки Sapphire Werewolf, в ходе которых злоумышленники распространяли вредоносные документы, тщательно упакованные в архивы, а также загруженные через сервис обмена файлами getshared[.]com.

В течение мая специалисты группы киберразведки PT ESC фиксировали возрастание активности хакерской группировки PhaseShifters, направленное на проведение фишинговых кампаний под видом официальных рассылок Министерства науки и высшего образования Российской Федерации. Для реализации этой операции злоумышленники зарегистрировали домен minobnauki[.]ru, MX-запись которого указывает на IP-адрес 193.124.33[.]207. Любопытно, что на том же сервере ранее располагался домен mail.min-prom[.]ru, который PhaseShifters использовали для рассылки фишинговых писем от имени Министерства промышленности и торговли Российской Федерации, что свидетельствует о целенаправленном повторном использовании инфраструктуры.

В теле фишинговых сообщений получателям предлагается загрузить зашифрованный архив, внутри которого обнаруживается вредоносное ПО QuasarRAT, замаскированное под документ формата DOCX.

Вместе с основным файлом в архиве содержится отдельный документ-приманка, выполняющий роль вспомогательного приложения и повышающий вероятность успешного запуска эксплойта конечным пользователем.

При распаковке и запуске вредоносного модуля QuasarRAT отслеживает наличие в системе продуктов для антивирусной защиты, проверяя ключевые процессы и службы, в частности bdservicehost, SophosHealth, AvastUI, AVGUI, nsWscSvc и ekrn. В зависимости от результатов этих проверок модифицируются параметры последующего запуска вредоноса.

Основная нагрузка QuasarRAT доставляется фрагментами с расширением .adt, которые затем объединяются в единый исполняемый файл при помощи командной инструкции "cmd /c copy /b ...". Пошаговый процесс объединения Quiet.adt, Achievements.adt, Yen.adt и других фрагментов завершается созданием конечного исполняемого файла, после чего начинается этап закрепления угрозы в системе жертвы. Для обеспечения автоматического старта при каждом входе пользователя в операционную систему вредоносное ПО копирует ярлык своего исполняемого файла в пользовательскую папку автозагрузки.

С целью маскировки своей деятельности атакующий процесс создает экземпляр системного бинаря RegAsm.exe, в который затем внедряется код QuasarRAT. Инжектирование позволяет обойти контроль целостности системных файлов и отказаться от использования стандартных путей запуска. После инъекции устанавливается защищенное соединение с командным сервером по адресу 5.8.11[.]119:4782, где размещен сертификат для организации SSL-канала управления, что обеспечивает дополнительный уровень шифрования и затрудняет сетевой детект.

Следует отметить, что описанная C2-инфраструктура ранее уже применялась группировкой PhaseShifters в предыдущих операциях, однако конфигурация серверов тех кампаний опиралась на домены thelightpower.info и crostech.ru. Анализ паттернов регистрации фишинговых доменов показывает, что злоумышленники отдают предпочтение IP-адресам, привязанным к автономной системе AS41745 ("Baykov Ilya Sergeevich").

В предыдущем квартале на основе нашей аналитики Rare Werewolf была классифицирована как финансово мотивированная киберпреступная группировка. Однако детальный мониторинг ее инфраструктуры и атак показал, что приоритетной задачей этой группы является сбор конфиденциальной информации, а применение майнера XMRig в ряде инцидентов служит лишь вспомогательным механизмом.

На протяжении апреля — июня группа киберразведки фиксировала попытки Rare Werewolf атаковать предприятия военно-промышленного комплекса. Метод остается неизменным: злоумышленники направляют письма с ZIP-архивом, защищенным паролем, указанным в тексте сообщения, что позволяет обойти почтовые фильтры.

Внутри архива содержится SCR-файл, при запуске которого сначала демонстрируется документ-приманка, а затем по скрытому каналу загружается дополнительный архив с PowerShell- и BAT-скриптами.

Распаковка осуществляется в скрытую папку, после чего скрипты извлекают дампы реестров SAM и SYSTEM, сканируют локальную сеть и устанавливают AnyDesk для удаленного управления.

Сканирование по жестко заданным IP-адресам занимает около 9–10 минут, что существенно превышает временные рамки эмуляции в публичных песочницах. Вероятно, задержка призвана затруднить динамический анализ вредоносного ПО.

В июньских семплах замечена попытка перехода с публичного туннелирования через ngrok на собственный обратный SSH-туннель 
с использованием Tuna и штатного sshd в целях повышения скрытности 
и надежности канала связи с C2-сервером.

На протяжении последних месяцев группировка пыталась мимикрировать под российский военный концерн, распространяя вредоносное ПО через домены, максимально сходные с легитимным.

Группировка Werewolves впервые зафиксирована в июне 2023 года, она использует модифицированный шифровальщик LockBit 3 Black, утекшие инструменты Conti, Cobalt Strike Beacon в загрузчиках .doc/.xls, AnyDesk и Netscan для перемещения по сети, а также открытый DLS-сайт для публикации похищенных данных.

В июне аналитики фиксировали фишинговые рассылки группировки Werewolves, направленные на компании из строительного и гостинично-ресторанного сектора.

Атака начинается с фишингового письма, содержащего вложение в формате DOС.

При открытии файла активируется эксплуатация уязвимости CVE-2017-0199, что приводит к загрузке RTF-документа с удаленного сервера. Внутри этого RTF-файла срабатывает уязвимость Equation Editor (CVE-2017-11882), позволяющая выполнить произвольный машинный код в системе жертвы.

Далее полезная нагрузка инициирует обращение к сокращенной ссылке на домене yip[.]su, автоматически перенаправляющей на скачивание HTA-файла. 

Это HTML-приложение-стейджер инкапсулирует Beacon-агент Cobalt Strike и загружается через стандартный системный процесс mshta.exe с ранее компрометированных легитимных ресурсов.

После запуска агент устанавливает защищенный TLS-канал связи с командно-контрольным сервером, обеспечивая злоумышленникам возможности удаленного управления, перемещения внутри периметра и развертывания дополнительных модулей для устойчивого присутствия в инфраструктуре жертвы.

DarkGaboon — финансово мотивированная хакерская группировка, впервые зафиксированная Positive Technologies в январе 2025 года с операциями, ведущимися с весны 2023 года. Она нацелена на российские компании из банковского, туристического и государственного сектора, а также из сферы ритейла.

В течение второго квартала эксперты Positive Technologies фиксировали атаки, проводимые группировкой DarkGaboon.

Для первоначального проникновения злоумышленники используют массовые фишинговые рассылки на русском языке, в которых адресатам направляются ZIP-архивы с названиями, имитирующими финансовую отчетность и акты сверки.

Внутри архива содержатся RTF-документ-приманка и исполняемый файл формата SCR, замаскированный под PDF, что обеспечивает высокую вероятность открытия вложения сотрудниками бухгалтерии.

Исполняемый модуль представляет собой обфусцированную сборку Revenge RAT или XWorm, упакованную с помощью Themida или .NET Reactor и подписанную поддельным сертификатом под видом российских бухгалтерских компаний. После запуска он закрепляется в системе, устанавливает удаленный доступ и развертывает дроппер, который с помощью сканера N. S. обнаруживает сетевые ресурсы, очищает временные файлы cleanmgr, шифрует данные LockBit 3.0 и оставляет вымогательскую записку на русском языке с эл. почтой для связи, не эксфильтруя информацию и завершая атаку удалением RAT и артефактов через BAT-скрипт. 

Инфраструктурные компоненты кампании включают домены dynamic DNS с «африканскими» названиями (например, kilimanjaro), а также виртуальные Windows-хосты с RDP-доступом, арендованные в американских и сейшельских сетях. Указанный домен room155[.]online, впервые зарегистрированный в марте 2023 года, выступает проксирующим сервером на основе PowerDNS, получившим делегирование порядка 500 субдоменов, что затрудняет идентификацию конечных узлов управления.

Анализ поведения DarkGaboon показывает, что группировка действует автономно и не является аффилиатом RaaS-сервиса LockBit, используя открыто доступную версию шифровальщика без последующей публикации украденных данных. Такой подход позволяет злоумышленникам «затеряться» на фоне множества аналогичных атак, сохраняя при этом фокус на вымогательстве и минимизируя риск раскрытия.

Несмотря на общее снижение активности группы DarkWatchman в течение текущего квартала, в апреле 2025 года была зафиксирована фишинговая кампания, полностью соответствующая ранее отработанным злоумышленниками тактикам. Вредоносный контент распространялся посредством массовой рассылки электронных писем, в теле которых содержались обращения с просьбой предоставить документацию. Тематика сообщений была выдержана в нейтральном формате в попытке позиционировать письмо как легитимный деловой запрос.

В качестве прикрепленных файлов злоумышленники использовали архивы с общими названиями «документы», «документация», чтобы снизить подозрительность вложений для конечного пользователя. 

Внутри архива находится вредоносное ПО DarkWatchman — бэкдор, разработанный на языке JavaScript. Архитектура этого ПО предусматривает создание скрытого канала коммуникации с командным сервером и последующую загрузку дополнительных модулей, обеспечивающих расширение функциональности и обеспечение устойчивого присутствия в системе жертвы.

Анализ заголовков электронных писем показал, что доменное имя отправителя alliance-s.ru ранее принадлежало ликвидированной компании ООО «Альянс» (Саратов) и с 2016 года не продлевалось. Повторная активация этого домена злоумышленниками произошла 29 апреля 2025 года, что свидетельствует о целенаправленной подготовке инфраструктуры для фишинговой кампании. В этот же день домен был перенаправлен на немецкий хостинг и настроен для работы основных почтовых протоколов.

Сопоставление временных меток в DNS-записи и конфигурациях почтовых сервисов показывает, что подготовительные работы по развертыванию инфраструктуры проводились с учетом обеспечения устойчивости и анонимности операций.

Позиционируют себя как проукраинские киберактивисты, проводя деструктивные атаки на инфраструктуру российских организаций с использованием программ-шифровальщиков. 

В конце мая специалисты по киберразведке Positive Technologies выявили целевую фишинговую кампанию, приуроченную к транспортно-логистическому форуму: злоумышленники развернули фишинговые домены rzd-partner[.]pro и rzd-partner[.]store, через которые распространяли архив RZD_Forum_28.05.rar с вредоносом семейства BrockenDoor. Внутри архива под видом PDF-документа с программой форума скрывался исполняемый файл «Программа Форума.pdf .exe». 

В имени этого файла после «Программа Форума.pdf» вставлены не обычные ASCII-пробелы, а невидимые пробельные символы Unicode U+205F (medium mathematical space), которые визуально выглядят как тонкие «пропуски», но на самом деле маскируют реальное расширение .exe, затрудняя обнаружение и автоматический анализ.

При открытии «Формы опроса.pdf.exe» происходит запуск PDF-приманки.

Бэкдор BrockenDoor в фоновом режиме устанавливает соединение с C2-сервером 194.190.153[.]198:7194. Набор команд расширен по сравнению с образцами 2024 года, исследованными коллегами из «Лаборатории Касперского».

Группа киберразведки систематически регистрирует факты компрометации российских веб-ресурсов. Как показывают результаты мониторинга, основными объектами злоумышленников становятся небольшие сайты: онлайн-магазины, персональные блоги и региональные информационные порталы. Несмотря на относительно невысокую популярность подобных ресурсов, их взлом может привести к серьезным негативным последствиям как для владельцев, так и для конечных пользователей. В первую очередь это касается несанкционированного доступа к клиентским базам данных, содержащим персональную информацию и историю транзакций, что существенно повышает риски мошенничества и утечки конфиденциальных сведений.

Полученные в результате таких атак привилегии часто используются киберпреступниками для внедрения вредоносного кода, обеспечивающего дальнейшее распространение угроз. В частности, злоумышленники могут маскировать фишинговые страницы под легитимные домены и рассылать целевые электронные письма с предложением перейти по вредоносным ссылкам, что существенно повышает вероятность успешного обмана доверчивых пользователей. 

Анализ данных указывает на то, что некоторые группы, подобные Werewolves, регулярно задействуют скомпрометированные площадки для организации многоступенчатых фишинговых кампаний.

Кроме того, часть участников теневого рынка предпочитает перепродавать полученные доступы третьим лицам. На специализированных форумах и в закрытых телеграм-каналах можно встретить объявления о продаже shell-доступа к серверным ресурсам, а также о реализации похищенных банковских данных.

Так, группа setupp.es ведет публичную деятельность на ресурсе xleet[.]in, где публикует коммерческие предложения по настройке серверов, продаже shell-доступов и банковских данных, извлеченных в ходе атак.

Методики хактивистов включают в себя целенаправленный сбор уязвимостей на уровне веб-приложений, эксплуатацию устаревших плагинов и ошибок конфигурации серверов. После получения доступа злоумышленники модифицируют содержимое целевых страниц, размещая пропагандистские материалы или перенаправляя трафик на поддельные страницы, замаскированные под официальные ресурсы.

Во втором квартале текущего года мы фиксировали заметный рост активности как хакерских группировок, так и хактивистов. При этом в подавляющем большинстве случаев первоначальным вектором атак остается фишинговая рассылка — будь то сложные атаки Team46 с эксплойтами нулевого дня или действия хакеров Rare Werewolf, использующих bat- и ps1-скрипты в связке с AnyDesk. Для рассылок злоумышленники регистрируют домены, визуально имитирующие легитимные, прибегают к захваченным реальным почтовым ресурсам, как это практикует Werewolves, либо покупают инфраструктуру у третьих лиц, которым доверяют рассылку фишинга. Параллельно мы наблюдаем рост числа вирусных файлов, содержащих сгенерированные нейросетями фрагменты кода, что связано с широкой доступностью облачных AI-сервисов и стремительного развития языковых моделей, позволяющих злоумышленникам быстро адаптировать и обфусцировать вредоносные модули для обхода классических средств защиты.