«Лаборатория Касперского» проанализировала кампанию кибершпионажа APT-группы Tomiris, активную который раз 2025 года. Атаки, которые длятся до сих пор, нацелены на госсектор, предпочтительно дипломатические службы, в России и СНГ. C действиями группы столкнулись более тысячи пользователей.
Чтобы получить первоначальный доступ, преступники рассылают целевые фишинговые письма с вредоносными архивами. Внутри содержится исполняемый файл, замаскированный под разные официальные документы. В каком-то из обнаруженных писем нападающие просят дать отзыв на проекты, якобы направленные на развитие российских регионов. Если запустить файл из архива, это приведёт к заражению компьютера жертвы.
Больше половины таргетированных фишинговых писем и файлов-приманок в кампании 2025 года содержат текст на русском языке. Из этого следует, что её жертвами в первую очередь взяли на себя обязательства стать русскоязычные пользователи и организации. Остальные письма были адаптированы для Туркменистана, Кыргызстана, Таджикистана и Узбекистана и составлены на соответствующих языках.
Для проникновения в систему группа использует различные виды вредоносных имплантов. В большинстве случаев заражение начинается с развёртывания реверс-шеллов, ждущих последующих команд. Они написаны на различных языках программирования. На следующих этапах атаки импланты устанавливают дополнительные приборы, включая фреймворки AdaptixC2 и Havoc, для последующей эксплуатации и закрепления в системе. В некоторых случаях в качестве командного сервера используются Telegram и Discord. Вредоносное ПО отыскивает на заражённых устройствах конфиденциальные данные: преступников, в частности, интересуют файлы с расширениями .jpg, .jpeg, .png, .txt, .rtf, .pdf, .xlsx и .docx.
«Тактики Tomiris очевидно эволюционировали: они направлены на то, чтобы максимально скрыть вредоносную активность, а также долгосрочно закрепиться в системе. Этому, в том числе, способствует использование вредоносных имплантов на различных языках. Группа стала чаще надеяться на приборы, которые задействуют в качестве командных серверов общедоступные сервисы, такого как Telegram и Discord. Вероятнее всего, так преступники пытаются скрыть вредоносный трафик среди легитимной активности этих сервисов», - объясняет Олег Купреев, эксперт по кибербезопасности в «Лаборатории Касперского».
Фото: Unsplash