Троян FatalRAT атакует энергетику, здравоохранение и логистику
Киберпреступники последовательно атаковали ряд промышленных организаций в Азиатско-Тихоокеанском регионе, распространяя вредоносное ПО FatalRAT. В частности, применяемый сценарий распространения ВПО актуален для промышленных организаций на территории России. Как защититься от нового трояна, рассказала аналитик лаборатории исследований кибербезопасности компании «Газинформсервис» Ирина Дмитриева.
По данным Kaspersky ICS CERT, преступники разработали сложную многоэтапную систему доставки вредоносного ПО, позволяющую обходить защитные механизмы. Для доставки вредоносного кода злоумышленники использовали облачные сервисы, такие как платформа myqcloud и Youdao Cloud Notes.
Жертвами уже стали государственные учреждения и предприятия в сфере производства, строительства, информационных технологий, здравоохранения, энергетики и логистики. В списке затронутых стран — Тайвань, Малайзия, Китай, Япония, Таиланд, Южная Корея, Сингапур, Филиппины, Вьетнам и Гонконг.
Атака начинается с фишингового письма с ZIP-архивом. При открытии файла запускается первый загрузчик, который обращается к облачному сервису для скачивания DLL-библиотеки и конфигуратора FatalRAT. Последний загружает дополнительные данные из облачного сервиса и открывает ложный файл, чтобы жертва не заподозрила неладное.
Основной механизм заражения — подмена DLL-библиотек, позволяющая маскировать вредоносное ПО под легитимные процессы Windows. После успешного выполнения цепочки атакующее ПО загружает FatalRAT с сервера «myqcloud[.]com», скрывая свои следы с помощью поддельного сообщения об ошибке.
ВПО FatalRAT наносит критичный ущерб при попадании на пользовательские устройства. В перечне его функционала: кейлоггер, контроль экрана, удаление пользовательских данных, загрузка удалённого ПО (например, AnyDesk и UltraViewer), файловые операции, управление прокси-сервером и принудительное завершение процессов.
«Для недопущения негативного воздействия со стороны вредоносного ПО важно обеспечить комплексную периметральную защиту инфраструктуры. Как отмечается, многофункциональное ВПО может мимикрировать под легитимные процессы Windows и завершать свою работу при обнаружении анализа собственного исходного кода. В соответствии с этой проблематикой, помимо внедрения СЗИ-решений и запуска курсов повышения осведомлённости сотрудников от фишинговых атак, крайне важно обеспечить мониторинг подозрительной сетевой активности и блокировать загрузки из ненадёжных источников. Меры митигации таких угроз успешно применяются в GSOC. Мониторинг аномальных событий осуществляется аналитиками с экспертизой в области форензики, расследования инцидентов и проактивной разведки угроз», — говорит эксперт компании «Газинформсервис» Ирина Дмитриева.
Шифровальщик Anubis обновился, добавив функцию вайпера – полного уничтожения файлов жертвы. Даже выплата выкупа не гарантирует восстановление данных. Как отмечает Сергей Полунин, руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис», Anubis демонстрирует новый тренд: киберпреступники не ограничиваются одним типом атаки, а комбинируют их, дополняя шифрование полным уничтожением информации. Появление в даркнете конструкторов вредоносного ПО усиливает эту тенденцию.
В ночь на 18 июня 2025 года иранская криптовалютная биржа Nobitex подверглась разрушительной кибератаке, за которой стоит группировка хакеров Predatory Sparrow. Руководитель GSOC компании «Газинформсервис» Александр Михайлов предупредил, что за подобными атаками не всегда стоят финансовые мотивы — данный случай демонстрирует политическую мотивацию.
Интеграция OneDrive в Windows 10 и 11 привела к росту популярности Microsoft 365 и к увеличению количества пользователей, хранящих данные в облаке. Однако недавно достоянием общественности стал серьёзный случай потери данных: пользователь потерял фотографии за 30 лет из-за блокировки учётной записи OneDrive. Как объясняет Александр Катасонов, инженер-аналитик компании «Газинформсервис», полная зависимость от облачных сервисов, таких как OneDrive, чревата серьёзными рисками.
Критическая уязвимость CVE-2024-12168 в Windows-версии «Яндекс Телемоста» вновь подчёркивает важность многоуровневой защиты, предупреждает Андрей Жданухин, руководитель группы аналитики L1 GSOC компании «Газинформсервис».
Хакерская АРТ-группировка Team46 (TaxOff) использует уязвимость нулевого дня в Google Chrome (CVE-2025-2783) для проведения изощрённой фишинговой кампании. Александр Катасонов, инженер-аналитик компании «Газинформсервис», отмечает, что расследованная атака — это яркий пример того, как APT-группы комбинируют социальную инженерию и технические уязвимости для достижения своих целей.
Используя ажиотаж вокруг новой ИИ-модели Sora от компании OpenAI, киберпреступники распространяют фишинговый сервис генерации видео через GitHub, предупреждает Ирина Дмитриева, киберэксперт компании «Газинформсервис». Злоумышленники маскируют вредоносный файл 'SoraAI.lnk' под легальный дистрибутив. Конечная цель – кража данных, включая учётные данные браузера, конфигурации системы и личных файлов, что может привести к целенаправленным атакам.
В прошлом году эксперты в рамках проекта «ИБ-пророк. Когда сходятся звёзды: прогнозы лидеров инфобеза»* предсказывали появление новых схем мошенничества, включая голосовые дипфейки, — и теперь эти прогнозы сбываются. Злоумышленники звонят россиянам под видом соцопросов, чтобы записать их голос и создать поддельные аудио. Но это лишь один из сценариев. Какие ещё угрозы предвидели специалисты?