Новый вредонос в письмах от МВД атакует российские компании
Эксперты F6* зафиксировали новые атаки группировки ReaverBits, нацеленные на российские компании. В недавних атаках использовались усовершенствованный Meduza Stealer и новый бэкдор ReaverDoor. Как выявить вредоносы таких классов, рассказала аналитик лаборатории исследований кибербезопасности компании «Газинформсервис» Ирина Дмитриева.
ReaverBits известны изощрёнными методами социальной инженерии, спуфингом и фишинговыми кампаниями, направленными на сотрудников организаций российского сектора. Вредоносное ПО (ВПО) распространяется под видом официальных документов государственных ведомств и легитимного программного обеспечения. За последние полгода зафиксировано 3 уникальных цепочки заражения жертв группировки.
В январе 2025 года ReaverBits осуществила рассылку писем от имени МВД России. В сообщениях содержалась ссылка на якобы официальный документ, однако при переходе жертва загружала заражённый исполняемый файл «Повестка». После загрузки вредоноса осуществлялась проверка языка, установленного в браузере жертвы: если в настройках браузера установлен русский язык, происходило перенаправление на вредоносный ресурс, в противном случае пользователь попадал на официальный сайт МВД. В файле находился загрузчик, основанный на легитимном инструменте NBTExplorer, который скачивал и запускал Meduza Stealer.
Вредоносные загрузчики основаны на легитимных open-source-проектах, в которые внедрён вредоносный код. Они загружают файлы с удалённых серверов, а их URI-адреса имеют унифицированное обозначение res.js. Вредоносные файлы шифруются по сложной схеме, включающей множественное шифрование по алгоритмам AES-256, PBKDF2 и Base64, что значительно усложняет их реверс-анализ и последующее обнаружение известных сигнатур антивирусными системами.
«Детектирование сложного ВПО — это нетривиальная задача, которую требуется решать с помощью продвинутых средств анализа сетевого трафика (NTA) и настройки правил блокировки поступающего контента на безопасных почтовых шлюзах (SEG). Для грамотной настройки средств защиты необходимы актуальные сведения о трендах в даркнете, основанные на проактивной разведке угроз (Threat Intelligence & Threat Hunting). В соответствии с внутренними регламентами эксперты GSOC компании "Газинформсервис" анализируют и собирают новые индикаторы злонамеренной активности из внешних источников по всей "Пирамиде боли" злоумышленника. Далее эти сведения задействуются в детективных и превентивных механизмах защиты инфраструктуры. Напоминаю, что "точкой" входа для такого ВПО являются пользователи. Важность курсов по антифишингу играет значительную роль в безопасности компании», — говорит эксперт компании «Газинформсервис» Ирина Дмитриева.
*F6 — разработчик технологий для борьбы с киберпреступностью, предотвращения и расследования киберпреступлений в России и за рубежом.
Шифровальщик Anubis обновился, добавив функцию вайпера – полного уничтожения файлов жертвы. Даже выплата выкупа не гарантирует восстановление данных. Как отмечает Сергей Полунин, руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис», Anubis демонстрирует новый тренд: киберпреступники не ограничиваются одним типом атаки, а комбинируют их, дополняя шифрование полным уничтожением информации. Появление в даркнете конструкторов вредоносного ПО усиливает эту тенденцию.
В ночь на 18 июня 2025 года иранская криптовалютная биржа Nobitex подверглась разрушительной кибератаке, за которой стоит группировка хакеров Predatory Sparrow. Руководитель GSOC компании «Газинформсервис» Александр Михайлов предупредил, что за подобными атаками не всегда стоят финансовые мотивы — данный случай демонстрирует политическую мотивацию.
Интеграция OneDrive в Windows 10 и 11 привела к росту популярности Microsoft 365 и к увеличению количества пользователей, хранящих данные в облаке. Однако недавно достоянием общественности стал серьёзный случай потери данных: пользователь потерял фотографии за 30 лет из-за блокировки учётной записи OneDrive. Как объясняет Александр Катасонов, инженер-аналитик компании «Газинформсервис», полная зависимость от облачных сервисов, таких как OneDrive, чревата серьёзными рисками.
Критическая уязвимость CVE-2024-12168 в Windows-версии «Яндекс Телемоста» вновь подчёркивает важность многоуровневой защиты, предупреждает Андрей Жданухин, руководитель группы аналитики L1 GSOC компании «Газинформсервис».
Хакерская АРТ-группировка Team46 (TaxOff) использует уязвимость нулевого дня в Google Chrome (CVE-2025-2783) для проведения изощрённой фишинговой кампании. Александр Катасонов, инженер-аналитик компании «Газинформсервис», отмечает, что расследованная атака — это яркий пример того, как APT-группы комбинируют социальную инженерию и технические уязвимости для достижения своих целей.
Используя ажиотаж вокруг новой ИИ-модели Sora от компании OpenAI, киберпреступники распространяют фишинговый сервис генерации видео через GitHub, предупреждает Ирина Дмитриева, киберэксперт компании «Газинформсервис». Злоумышленники маскируют вредоносный файл 'SoraAI.lnk' под легальный дистрибутив. Конечная цель – кража данных, включая учётные данные браузера, конфигурации системы и личных файлов, что может привести к целенаправленным атакам.
В прошлом году эксперты в рамках проекта «ИБ-пророк. Когда сходятся звёзды: прогнозы лидеров инфобеза»* предсказывали появление новых схем мошенничества, включая голосовые дипфейки, — и теперь эти прогнозы сбываются. Злоумышленники звонят россиянам под видом соцопросов, чтобы записать их голос и создать поддельные аудио. Но это лишь один из сценариев. Какие ещё угрозы предвидели специалисты?