S-TEAM https://steam-snake.ru Комплексные решения для сетевой безопасности и анализа трафика ru Кибератаки будущего: какие угрозы ждут нас в ближайшие 10 лет? https://steam-snake.ru/blog/tpost/u3ozvvz5h1-kiberataki-buduschego-kakie-ugrozi-zhdut https://steam-snake.ru/blog/tpost/u3ozvvz5h1-kiberataki-buduschego-kakie-ugrozi-zhdut?amp=true Tue, 04 Feb 2025 22:31:00 +0300 Андрей Никул Популярное Мир становится всё более цифровым, и вместе с этим растёт число киберугроз. Если раньше атаки были примитивными, то сегодня преступники используют искусственный интеллект, социальную инженерию и даже квантовые технологии.

Кибератаки будущего: какие угрозы ждут нас в ближайшие 10 лет?

Мир становится всё более цифровым, и вместе с этим растёт число киберугроз. Если раньше атаки были примитивными, то сегодня преступники используют искусственный интеллект, социальную инженерию и даже квантовые технологии. Разберём, какие кибератаки ожидают нас в будущем и как от них защититься.

Основные угрозы

1. Искусственный интеллект против человека
Хакеры смогут использовать AI для создания персонализированных атак, имитируя реальных людей, взламывая пароли, и обходя системы безопасности. Уже сейчас появляются алгоритмы, способные автоматически распознавать защитные механизмы и находить уязвимости быстрее, чем их устраняют.

2. Квантовые компьютеры
Они угрожают традиционному шифрованию, так как квантовые алгоритмы способны разгадывать сложные математические задачи в считанные минуты, тогда как обычным компьютерам на это нужны тысячи лет. Это создаст серьёзные проблемы для финансовых и государственных систем.

3. Глубокие фейки
Глубокие фейки представляют серьёзную угрозу не только частным лицам, но и крупным компаниям и государствам. Используя нейросети, мошенники могут создавать реалистичные видео и аудиозаписи, подделывая голоса руководителей компаний, политиков и знаменитостей, чтобы манипулировать общественным мнением или совершать финансовые преступления.

4. Кибероружие
Современные атаки уже не ограничиваются кражей данных. Кибератаки могут быть направлены на важнейшие инфраструктурные объекты: энергетические системы, водоснабжение, транспортные сети. Отключение света или заражение питьевой воды могут привести к катастрофическим последствиям.

5. Биохакинг
В будущем хакеры могут взламывать не только цифровые устройства, но и медицинские импланты. Например, кардиостимуляторы или инсулиновые помпы, управляемые через интернет, могут стать целью злоумышленников, что создаёт угрозу жизни пациентов.

Как защититься?

Использовать двухфакторную аутентификацию, чтобы усложнить несанкционированный доступ.
Обновлять системы безопасности, поскольку новые угрозы появляются ежедневно.
Следить за утечками данных, регулярно проверяя свои аккаунты через сервисы мониторинга безопасности.
Использовать технологии квантового шифрования, когда они станут доступны.

]]> Как работает фишинг и как не попасться на удочку мошенников? https://steam-snake.ru/blog/tpost/8otnh1d411-kak-rabotaet-fishing-i-kak-ne-popastsya https://steam-snake.ru/blog/tpost/8otnh1d411-kak-rabotaet-fishing-i-kak-ne-popastsya?amp=true Tue, 04 Feb 2025 23:03:00 +0300 Андрей Никул Популярное Никогда не переходите по ссылкам из подозрительных писем и сообщений.Проверяйте подлинность отправителей, особенно если вас просят ввести конфиденциальные данные.

Как работает фишинг и как не попасться на удочку мошенников?

Фишинг — один из самых распространённых методов кибермошенничества. Хакеры маскируются под доверенные источники, чтобы украсть логины, пароли и данные банковских карт. Разберём основные виды фишинга и способы защиты.

Основные виды фишинга

1. Email-фишинг
Мошенники рассылают письма с фальшивыми ссылками, ведущими на поддельные сайты. Они могут имитировать почтовые сервисы, банки или социальные сети. Пользователь вводит свои данные, а они тут же передаются злоумышленникам.

2. Spear-фишинг
Это более сложная форма атаки, при которой мошенники собирают информацию о конкретной жертве, а затем создают персонализированные письма или сообщения. Такой метод часто используется для атак на корпоративных сотрудников.

3. Телефонный фишинг (Vishing)
Хакеры звонят и представляются сотрудниками банка или техподдержки, запрашивая конфиденциальные данные, такие как номера карт, коды подтверждения, пароли от личных кабинетов.

4. SMS-фишинг (Smishing)
Пользователь получает SMS с ссылкой на вредоносный сайт, где ему предлагают ввести личные данные. Часто такие сообщения маскируются под официальные уведомления от банков или государственных служб.

Как защититься?

Никогда не переходите по ссылкам из подозрительных писем и сообщений.
Проверяйте подлинность отправителей, особенно если вас просят ввести конфиденциальные данные.
Используйте менеджеры паролей, которые не позволят ввести логин и пароль на поддельном сайте.
Включите двухфакторную аутентификацию, чтобы даже в случае утечки данных ваши аккаунты оставались защищёнными.

]]> Ботнеты: как армии заражённых устройств угрожают интернету? https://steam-snake.ru/blog/tpost/sfubmgzdg1-botneti-kak-armii-zarazhyonnih-ustroistv https://steam-snake.ru/blog/tpost/sfubmgzdg1-botneti-kak-armii-zarazhyonnih-ustroistv?amp=true Tue, 04 Feb 2025 23:19:00 +0300 Андрей Никул Популярное Ботнеты — это сети заражённых компьютеров, которыми управляют хакеры. Они используются для DDoS-атак, кражи данных и распространения вредоносного ПО.

Ботнеты: как армии заражённых устройств угрожают интернету?

Ботнеты — это сети заражённых компьютеров, которыми управляют хакеры. Они используются для DDoS-атак, кражи данных и распространения вредоносного ПО.

Как работают ботнеты?

Вредоносное ПО заражает устройства пользователей через вирусные сайты, вложения в письмах или уязвимости в программном обеспечении.
Все заражённые компьютеры объединяются в сеть и контролируются удалённо.
Хакер может использовать эту сеть для кибератак на сайты, кражи данных, массовой рассылки спама.

Как защититься?

Использовать мощные антивирусные программы и брандмауэр.
Не скачивать файлы из ненадёжных источников и не открывать подозрительные вложения в письмах.
Регулярно обновлять операционную систему и приложения, чтобы устранить уязвимости.
Отключать ненужные удалённые службы, такие как удалённый рабочий стол, если они вам не нужны.

]]> Кибероружие и атаки на инфраструктуру https://steam-snake.ru/blog/tpost/dou94n0tj1-kiberoruzhie-i-ataki-na-infrastrukturu https://steam-snake.ru/blog/tpost/dou94n0tj1-kiberoruzhie-i-ataki-na-infrastrukturu?amp=true Tue, 04 Feb 2025 23:27:00 +0300 Андрей Никул Кибератаки давно стали инструментом геополитики. Вредоносное ПО вроде Stuxnet, способное поражать промышленные объекты, доказало, что с помощью цифровых методов можно разрушать физические системы.

Кибероружие и атаки на инфраструктуру

Кибератаки давно стали инструментом геополитики. Вредоносное ПО вроде Stuxnet, способное поражать промышленные объекты, доказало, что с помощью цифровых методов можно разрушать физические системы.

В ближайшие годы мы увидим рост атак на:

Энергосистемы (выведение из строя электростанций, сетей водоснабжения).
Транспортные сети (взлом автопилотов, управление беспилотными дронами).
Городскую инфраструктуру (атаки на системы видеонаблюдения, умные дома).

Как защититься?

Государства уже вводят строгие меры по кибербезопасности критической инфраструктуры. Разрабатываются изолированные сети, которые не имеют выхода в интернет и защищены от атак извне.

]]> Биохакинг и атаки на персональные данные https://steam-snake.ru/blog/tpost/i9kyx0stg1-biohaking-i-ataki-na-personalnie-dannie https://steam-snake.ru/blog/tpost/i9kyx0stg1-biohaking-i-ataki-na-personalnie-dannie?amp=true Tue, 04 Feb 2025 23:29:00 +0300 Андрей Никул Популярное С развитием технологий, таких как импланты, нейроинтерфейсы и умные устройства, хакеры получат доступ к новым целям — самому человеку.

Биохакинг и атаки на персональные данные

С развитием технологий, таких как импланты, нейроинтерфейсы и умные устройства, хакеры получат доступ к новым целям — самому человеку.

Какие угрозы могут появиться?

Взлом медицинских имплантов (кардиостимуляторов, слуховых аппаратов).
Кража биометрических данных (отпечатков пальцев, рисунков вен, ДНК).
Манипуляция мозговыми интерфейсами (изменение поведения через подключённые устройства).

Как защититься?

Необходимо разрабатывать устойчивые к взлому биометрические системы и ограничивать хранение персональных данных в облаке.

Кибератаки будущего будут становиться всё более сложными, объединяя искусственный интеллект, квантовые вычисления, биотехнологии и социальную инженерию.

Главное правило цифрового мира — не недооценивать угрозу. Даже самые продвинутые технологии могут быть использованы против нас, если мы не будем вовремя готовиться к рискам.

Будущее за кибербезопасностью — и оно начинается прямо сейчас.

]]> Почему корпоративные данные продолжают утекать в сеть? https://steam-snake.ru/blog/tpost/fy7tmbx761-pochemu-korporativnie-dannie-prodolzhayu https://steam-snake.ru/blog/tpost/fy7tmbx761-pochemu-korporativnie-dannie-prodolzhayu?amp=true Tue, 04 Feb 2025 23:33:00 +0300 Андрей Никул Популярное Каждый год компании теряют миллионы долларов из-за утечек данных. Почему это происходит и как защититься?

Почему корпоративные данные продолжают утекать в сеть?

Каждый год компании теряют миллионы долларов из-за утечек данных. Почему это происходит и как защититься?

Основные причины утечек:

Человеческий фактор (сотрудники случайно отправляют данные не тем людям).
Взлом аккаунтов и кража паролей.
Использование незащищённых облачных сервисов.

Громкие утечки данных:

Взлом Facebook (2019) – утекли 540 миллионов записей.
Атака на Equifax (2017) – 147 миллионов украденных кредитных данных.
Утечка логинов Zoom (2020) – из-за слабых паролей.

Как избежать утечек?

Использовать двухфакторную аутентификацию.
Шифровать важные данные.
Ограничивать доступ к чувствительной информации.

Компании должны не только инвестировать в защиту, но и обучать сотрудников, так как человеческий фактор – главная причина утечек.

_{* Организация Meta, а также её продукты Instagram и Facebook, на которые мы ссылаемся в этой статье, признаны экстремистскими на территории РФ}

]]> Киберразведка — как использовать TI для защиты бизнеса https://steam-snake.ru/blog/tpost/rni4sxh6e1-kiberrazvedka-kak-ispolzovat-ti-dlya-zas https://steam-snake.ru/blog/tpost/rni4sxh6e1-kiberrazvedka-kak-ispolzovat-ti-dlya-zas?amp=true Sun, 02 Mar 2025 22:38:00 +0300 Андрей Никул Новостная лента В этой статье мы рассмотрим киберразведку не с позиции компании, производящей TI-контент, а с точки ...

Киберразведка — как использовать TI для защиты бизнеса

В этой статье мы рассмотрим киберразведку не с позиции компании, производящей TI-контент, а с точки зрения организаций, которые этот контент используют. Разберёмся, как она помогает бизнесу, какие задачи решает и как выстроить её процессы в компании. Давайте начнём!

Что такое киберразведка?

Киберразведка (Threat Intelligence, TI) — это процесс получения информации о злоумышленниках с целью защиты организаций. Он обеспечивает стратегические, оперативные и тактические преимущества, превращая разрозненные сведения в ценные знания для принятия решений. Этот процесс цикличен и требует постоянного обновления данных.

Зачем она нужна?

Киберразведка даёт представление о злоумышленниках на разных этапах их деятельности:

До атаки — позволяет выявить потенциальные угрозы и подготовиться к возможным сценариям.
Разведка инфраструктуры — помогает обнаружить попытки сбора информации о компании.
Во время атаки — ускоряет реагирование, предотвращая развитие угрозы.
После инцидента — анализирует атаку, извлекая уроки и усиливая защиту.

Уровни киберразведки

Киберразведка структурируется по уровням, различающимся масштабом задач и детализацией информации. Существуют две основные модели её организации: трёхуровневая и четырёхуровневая.

Трёхуровневая модель TI

Стратегический уровень — отвечает на вопросы "Кто атакует?" и "Зачем?", формируя общую картину угроз.
Оперативный уровень — описывает тактики, техники и процедуры (TTP) атакующих, помогая прогнозировать их действия и быть к ним готовыми
Тактический уровень — анализирует технические индикаторы компрометации (IOC), уязвимости (CVE) и другие артефакты, обеспечивая детектирование атак.

Четырёхуровневая модель TI

Включает аналогичные уровни, но с уточнением:

Стратегический — анализ глобальных угроз.
Тактический — изучение TTP злоумышленников.
Оперативный — фокус на конкретных угрозах организации.
Технический — работа с IOC, CVE и другими индикаторами атак.

Разница заключается в разделении оперативного уровня на тактический и оперативный, что позволяет более детально анализировать угрозы.

Киберразведка как непрерывный процесс

Эффективная киберразведка — это не разовая мера, а постоянный процесс, который требует системного подхода, причём на каждом уровне. Для успешного функционирования TI в организации необходимо наладить цикл работы, включающий:

1. Определение требований — формирование целей на основе потребностей бизнеса.
2. Сбор данных — получение информации из внешних и внутренних источников.
3. Обработка — очистка, нормализация и обогащение данных.
4. Анализ — выявление закономерностей и подготовка разведывательных отчётов.
5. Передача информации — распространение сведений для принятия решений.
6. Обратная связь — оценка эффективности и корректировка процессов.

Вот пример использования жизненного цикла на стратегическом уровне TI:

Определение требований — анализ групп злоумышленников, нацеленных на отрасль и регион.
Сбор данных — изучение аналитических отчётов и профильных публикаций.
Обработка — фильтрация и структурирование информации.
Анализ — составление ландшафта угроз.
Передача информации — подготовка стратегических отчётов для топ-менеджмента.
Обратная связь — корректировка стратегии защиты.

С чего начать внедрение TI в компании?

Стратегический уровень: кто и почему атакует?

Определите актуальные угрозы.
Используйте отчёты аналитических компаний для формирования ландшафта угроз.
Документируйте риски и угрозы в стратегических отчётах.

Тактический уровень: как атакуют?

Изучите используемые злоумышленниками TTP.
Проанализируйте даркнет форумы.
Проведите анализ утечек.

Оперативный уровень: где искать угрозы?

Определите TTP, не охваченные текущим мониторингом.
Настройте детектирование в SIEM, IDS, EDR на основе выявленных техник.
Используйте данные для Threat Hunting.

Технический уровень: как анализировать данные?

- Разверните платформу для хранения и обработки данных (MISP, OpenCTI).
- Подключите внешние и внутренние фиды TI.

Оцените эффективность фидов от Snake CTI — они обладают низким уровнем ложных срабатываний и высоким контекстом, адаптированным под российский регион. Snake CTI легко интегрируются с MISP и ELK. Попробуйте их в пилотном режиме, чтобы убедиться в преимуществах системы!

Итог

Киберразведка — это важный элемент кибербезопасности, позволяющий выявлять угрозы на разных этапах активности злоумышленников и своевременно реагировать на инциденты. Системный подход к киберразведке помогает:
- укреплять защиту компании перед лицом современных угроз;
- обеспечивать знания, необходимые для быстрого и правильного принятия решений.

Внедрение процессов TI требует постоянного развития и адаптации, но в долгосрочной перспективе оно значительно повышает устойчивость бизнеса к кибератакам.

]]> Ландшафт угроз финансовых организаций за 1 квартал 2025 https://steam-snake.ru/blog/tpost/fco33p1831-landshaft-ugroz-finansovih-organizatsii https://steam-snake.ru/blog/tpost/fco33p1831-landshaft-ugroz-finansovih-organizatsii?amp=true Thu, 01 May 2025 21:27:00 +0300 oko Обзор группировок нацеленных на финансовые организации в 1 квартале 2025

Ландшафт угроз финансовых организаций за 1 квартал 2025

Обзор активности за квартал

В рамках анализа ландшафта угроз, нацеленных на финансовые организации, за отчетный период была зафиксирована активность 26 из 42 известных группировок. Что составляет 62 процента от всех группировок, это незначительно больше, чем кварталом ранее.

По типу деятельности киберпреступные группы условно делятся на три категории:

1.APT. За квартал проявили активность 5 из 11 группировок, среди них – Sticky Werewolf, Cloud Atlas, Core Werewolf, ReaverBits и Hellhounds

2.Финансово мотивированные злоумышленники. Из 15 активных группировок этой категории, можно выделить два класса по характеру воздействия:

• Cбор конфиденциальной информации - Vasy Grek, Hive0117, Rezet,TA558, Narketing163, Stone Wolf, RedCurl, Dark Gaboon.

• Шифрование с целью получения выкупа - LokiLocker,FIN7, Head Mare, Werewolves, HsHarada, DcHelp и Shadow

3.Хактивисты. В ходе исследований были выявлены атаки 6 из 8 группировок – IT Army of Ukraine, Cyber.Anarchy.Squad,Silent Crow, Hoody Hyena, Ukrainian Cyber Alliance и Himars DDOS.

Сравнительный анализ с предыдущим кварталом

Сравнение текущих показателей с предыдущим кварталом позволило выделить следующие изменения:

• Рост активности финансово мотивированных злоумышленников на 10%. Количество активных групп, распространяющих программы-шифровальщики, увеличилось на 2. Также зафиксировано увеличение числа группировок, занимающихся сбором конфиденциальной информации — на 2 больше, чем в прошлом квартале. Это может свидетельствовать о росте спроса на продажу персональных данных.

• Количество активных хактивистских группировок в этом квартале увеличилось на 1. Несмотря на незначительное изменение общего количества, текущий квартал ознаменовался серьёзными атаками, ответственность за которые взяли проукраинские хактивисты.

• Активность APT-группировок осталась практически без изменений, в текущем квартале было зафиксировано на одну активную группировку меньше

Анализ показывает существенный рост активности злоумышленников, особенно среди финансово мотивированных групп, специализирующихся на шифровании инфраструктуры и краже данных.

Географическая атрибуция группировок

В рамках анализа ландшафта угроз было выявлено 9 проукраинских группировок - Himars DDOS, IT ARMY of Ukraine, Cyber.Anarchy.Squad, Shadow, Sticky Werewolf, Silent Crow, BO Team, Cloud Atlas и Ukrainian Cyber Alliance. Также 3 группировки которые могут быть потенциально связаны с Украиной, но пока еще не атрибутированы – ReaverBits, Core Werewolf и Head Mare. К таким группам мы относим русскоязычных злоумышленников, нацеленных на атаки правительственных учреждений, государственный сектор экономики и частных российских компаний, тесно связанных с государством.

Несмотря на то, что количество активных группировок не увеличилось, в текущем квартале проукраинские группировки отметились достаточно большим количеством атак. Например, от атак группировок-шифровальщиков пострадали следующие крупные компании: одна из ассоциаций ПАО «Газпром», крупная IT-компания ЛАНИТ и российская электротехническая компания IEK Group.

Также продолжились DDoS-атаки на различных операторов мобильной связи, что вызывало краткосрочные сбои в их работе, а также атаки на различные государственные сайты. Например, в течение некоторого времени на сайте Московского метрополитена был размещён дефейс с логотипом сбоя в АО «Украинская железная дорога».

]]> Новостной дайджест за 1 квартал 2025 https://steam-snake.ru/blog/tpost/m3pa09eri1-novostnoi-daidzhest-za-1-kvartal-2025 https://steam-snake.ru/blog/tpost/m3pa09eri1-novostnoi-daidzhest-za-1-kvartal-2025?amp=true Sun, 04 May 2025 12:03:00 +0300 oko Рассмотрим самые яркие события на российском киберпространстве, а также отметим самые крупные утечки и наиболее интересные уязвимости

Новостной дайджест за 1 квартал 2025

В этой статье мы рассмотрим ключевые события, связанные с российским ландшафтом киберугроз за последний квартал. Вы узнаете о ключевых новостях, утечках данных из российских компаний и свежих уязвимостях в различном ПО.

Ключевые моменты

Масштабные DDoS-атаки нарушили работу интернета и сервисов в жилых и коммерческих зданиях ПИК

Утечка данных пользователей Keenetic привела к раскрытию конфиденциальной информации, включая Wi-Fi пароли и ключи шифрования

Хакерские группировки активизировались: зафиксированы компрометации крупных организаций

Крупная утечка данных устройств FortiGate, а также RCE уязвимость в FortiOS

Значительная часть утечек баз данных была инициирована одной хакерской группировкой — «Silent Crow», атаковавшей крупные организации, включая Ростелеком и ДИТ Москвы

Квартал отметился большим количеством критических уязвимостей

События на российском ландшафте угроз

Интернет-провайдер Lovit подвергся мощной DDoS атаке

21 марта 2025 года жители домов крупнейшего российского застройщика «ПИК» в Москве и Санкт-Петербурге испытали проблемы с доступом к домашнему интернету и домофонам в подъездах, также со сбоями столкнулись коммерческие организации, расположенные в пострадавших зданиях, так как у них не работали терминалы для оплаты и бонусные системы.

График сбоев Lovit

Причиной данных сбоев стала масштабная DDoS атака от группировки It Army Of Ukraine. Атака продолжалась вплоть до 28.03.2025, по информации Роскомнадзора на пике мощность атаки составила до 219,06 Гбит/с и 22,39 млн пакетов в секунду. Также по информации от злоумышленников, в данной атаке использовался инструмент Gorgon Stress, которая ранее не была замечена в арсенале ITAoU.

Источник: https://xakep.ru/2025/03/24/nelovit/

Компания Keenetic сообщила об утечке данных пользователей

Производитель сетевого оборудования, компания Keenetic, предупреждает пользователей, зарегистрировавшихся до 16 марта 2023 года, о несанкционированном доступе к БД своего мобильного приложения. В середине марта 2023 года независимый ИБисследователь уведомил Keenetic о том, что БД официального мобильного приложения могла быть скомпрометирована. После проверки специалисты устранили проблему 15 марта 2023 года.

28 февраля 2025 года компании стало известно, что часть информации из базы данных была раскрыта CМИ CyberNews. По утверждению анонимного источника CyberNews, суммарно утечка включает:

1 034 920 записей, которые содержат обширные данные о пользователях: email-адреса, имена, локали, идентификаторы Keycloak, Network Order ID, Telegram Code ID;

929 501 запись с подробной информацией об устройствах: SSID и пароли от Wi-Fi открытым текстом, модели устройств, серийные номера, интерфейсы, MAC-адреса, доменные имена для внешнего доступа, ключи шифрования и многое другое;

558 371 запись о конфигурациях устройств, включая данные о доступе пользователей, уязвимые перед брутфорсом пароли с хешированием MD5, назначенные IP-адреса и расширенные настройки маршрутизатора;

исчерпывающие служебные логи, содержащие более 53 869 785 записей, среди которых можно найти имена хостов, MAC-адреса, IP-адреса, сведения о доступе и даже флаги owner_is_pirate.

Фрагмент данных доступных в утечке

Источники:

https://xakep.ru/2025/03/21/keenetic-leak/

https://xakep.ru/2025/03/25/keenetic-leak-details/

НКЦКИ сообщает о возможной компрометации ЛАНИТ

ФинЦЕРТ Банка России уведомил организации кредитно-финансового сектора о вероятной компрометации компаний «Лантер» и ООО «ЛАН АТМсервис», входящих в группу компаний «Ланит». Национальный координационный центр по компьютерным инцидентам (НКЦКИ) рекомендовал срочную смену паролей и ключей, используемых для доступа к системам, которые функционируют в центрах обработки данных «Ланит». Также отмечалось, что часть информации зашифрована и из инфраструктуры компании рассылаются вредоносные письма.

Эксперты F6 считают, что, судя по косвенным признакам, за атакой стоит украинская группировка Shadow. Это подтверждается связью некоторых доступных IoC c группировками активность которых связывают с группировкой Shadow.

Источник: https://www.itsec.ru/news/nkzki-soobshayet-o-vozmozhnoy-komplrometazii-lanit

Активность группировки Silent Crow

Хакерская группировка Silent Crow в начале 2025 года заявила о серии кибератак на крупные российские организации. Хакеры сообщили о 8 взломах за 1 квартал 2025. Silent Crow действует скрытно, публикуя заявления о взломах в Telegram-каналах и предоставляя фрагменты данных в качестве доказательств. Группировка известна своим саркастическим стилем и критикой работы служб информационной безопасности атакуемых организаций. Список опубликованных БД:

Центральная база данных граждан Москвы и МО "ДИТ Москвы";

ИС УДРВС "ДИТ Москвы"; - Росреестр;

Российский филиал "Kia";

Национальная команда реагирования на киберинциденты Республики Беларусь;

Закупки ПАО Ростелеком (zakupki.rostelecom.ru);

АльфаСтрахование-жизнь;

Клуб клиентов Альфа-Банка (club.alfabank.ru).

Публикация из Telegram канала группировки

Атаки шифровальщиков на инфраструктуру Лукойл

26 марта 2025 года, компания «Лукойл» подверглась хакерской атаке, из-за которой пользователи сообщали о проблемах с безналичными расчетами за топливо. По информации СМИ, компания пострадала от атаки шифровальщика, но критическая инфраструктура не затронута.

Атака была обнаружена утром 26 марта, когда сотрудники компании увидели на экранах рабочих компьютеров «странное сообщение о поломке, подозрительно похожее на взлом». После этого якобы поступило распоряжение «не заходить в рабочие аккаунты, используя логины и пароли, чтобы избежать утечки данных». Также ряд СМИ сообщало о том, что работа офисов на Сретенском бульваре, Якиманке и Покровском бульваре была парализована, сотрудники не могли воспользоваться электронными пропусками.

Источник: https://xakep.ru/2025/03/27/lucoil-attack/

Устройства FortiGate под ударом: утечка данных и новая критическая уязвимость

В январе 2025 года хакерская группировка Belsen Group опубликовала в даркнете архив объёмом 1,6 ГБ, содержащий конфиденциальные данные более 15 000 устройств FortiGate. Среди информации — IPадреса, конфигурационные файлы, VPN-учётные данные и пароли в открытом виде. Согласно анализу эксперта Кевина Бомонта, утечка связана с эксплуатацией уязвимости CVE-2022-40684, обнаруженной ещё в 2022 году, которая позволяла обходить аутентификацию на устройствах FortiGate. Хотя уязвимость была исправлена, данные были опубликованы только спустя два года, что вызывает обеспокоенность по поводу возможного использования устаревших, но всё ещё актуальных данных.

Информация об уязвимости с одного из форумов

Также, в январе 2025 года была обнаружена новая критическая уязвимость CVE-2024-55591 в FortiOS. Она позволяет злоумышленникам получить права супер-администратора на устройствах FortiGate без аутентификации, используя уязвимость при проверке инициализации WebSocket-соединения. Fortinet выпустила обновления для устранения этой проблемы, однако значительное количество устройств остаётся уязвимым, что подчёркивает необходимость срочного обновления систем безопасности.

Источник:

https://xakep.ru/2025/01/16/belsen-group-fortigate/

https://www.securitylab.ru/news/555927.php

Утечки баз данных

В этом разделе представлены основные утечки баз данных компаний, зафиксированные в течение первого квартала. Обзор охватывает размеры утечек и их состав.

Росреестр

В свободный доступ был выложен фрагмент базы данных, содержащий 81 990 606 строк:

ФИО,

адрес эл. почты (401 тыс. уникальных),

телефон (7,5 млн. уникальных),

адрес,

паспортные данные,

дата рождения,

СНИЛС,

дата,

компания.

Заявляется, что общий объём утечки составил более 2 млрд. строк. Актуальность данных – 10.03.2024

Фрагмент утечки базы данных

Судя по скриншотам появившимся вместе с утечкой, злоумышленники получили доступ к среде виртуализации Росреестр.

Интернет-магазин товаров для спорта КАНТ

В открытый доступ был выложен фрагмент базы данных, содержащий около 300 тыс. записей, предположительно относящийся к интернетмагазину kant.ru:

ФИО,

адрес эл. почты (734 тыс. уникальных),

телефон (726 тыс. уникальных),

адрес доставки,

хешированный пароль,

частичный номер банковской карты,

дата.

Актуальность данных – 24.12.2024

Фрагмент утечки базы данных

КИА Россия

В открытый доступ были выложены фрагменты двух таблиц, предположительно полученные из ИТ-инфраструктуры официального представительства «КИА Россия и СНГ» (kia.ru):

ФИО,

адрес эл. почты (172 тыс. уникальных),

телефон (448 тыс. уникальных),

дата рождения,

текст обращения,

хешированный пароль,

IP-адрес,

дата.

Актуальность данных – 13.09.2024

Фрагмент утечки базы данных

АльфаСтрахование-Жизнь

Хакерская группировка «Silent Crow» заявила о взломе компании «АльфаСтрахование-Жизнь», в качестве доказательств предоставив фрагменты дампов баз данных из lifepoint.club – портала для сотрудников. Дамп содержит 173 тыс. строк:

адрес эл. почты (173 тыс. уникальных),

телефон (484 тыс. уникальных).

Актуальность данных – 15.06.2024

Фрагмент утечки базы данных

Ростелеком

Хакерская группировка «Silent Crow» заявила о взломе компании «Ростелеком». Со слов хакеров, они выгрузили базы сайтов company.rt.ru, zakupki.rostelecom.ru. Дамп содержит:

адрес эл. почты (154 тыс. уникальных),

телефон (101 тыс. уникальных).

Актуальность данных – 20.09.2024

В «Ростелекоме» заявили, что «ранее фиксировали инциденты ИБ у одного из подрядчиков» и допустили связь этих инцидентов с утечкой. Утверждается, что «утечки особо чувствительных персональных данных не было».

Фрагмент утечки базы данных

ДИТ города Москвы

В открытый доступ был выложен фрагмент базы данных, предположительно Департамента информационных технологий (ДИТ) города Москвы. Хакеры утверждают, что данные были выгружены из информационной системы управления данными в распределительной вычислительной среде (ИС УДРВС). Опубликованный фрагмент размером 1 млн. строк содержит:

ФИО

адрес эл. почты (363 тыс. уникальных),

телефон (684 тыс. уникальных),

пол,

дата рождения,

адрес,

паспортные данные,

место рождения.

Актуальность данных – 25.08.2023

Некоторое время спустя та же группировка выложила ещё один фрагмент другой базы ДИТ. Фрагмент с 10 млн записей содержит те же поля, что и предыдущий.

Актуальность данных - также 08.2023

Вероятно, это не новая утечка, а новые фрагменты ранее выгруженных базы данных. В апреле прошлого года хакеры из «DumpForums» заявили, что взломали сервера ДИТ и выгрузили базы данных общим объёмом около 40 ТБ.

Публикация базы данных на форуме утечек

Портал работников ОАО «РЖД»

В свободный доступ был выложен json-файл, предположительно содержащий данные сотрудников ОАО «РЖД». Источник утверждает, что данные получены из сервисного портала работников my.rzd.ru.

Файл содержит 572 731 запись:

ФИО,

должность,

адрес эл. почты (иногда на доменах nrr.rzd.ru, dzv.rzd.ru, orw.rzd),

рабочий телефон.

Актуальность данных – 13.01.2025

Ранее утечки персональных данных сотрудников ОАО «РЖД» фиксировались в 2020 году, также известны другие утечки компании за 2020-2023 год.

Фрагмент утечки базы данных

Сеть магазинов Selgros

Стало известно, что хакеры получили доступ к данным покупателей предположительно сети магазинов «Selgros Cash$Carry» (selgros.ru). Данные предположительно выгружены из CRM программы лояльности, т.к. в дампе присутствует информация по бонусным баллам, средним чекам и скидкам. Выгружено более 624 тыс. записей:

ФИО

телефон (621 тыс. уникальных),

адрес эл. почты (527 тыс. уникальных),

пол,

дата рождения.

Актуальность данных – 04.03.2025.

Фрагмент утечки базы данных

Стоит отметить, что в 1 квартале немалая доля утечек опубликована одной группировкой – «Silent Crow»:

• Ростелеком;

• КИА Россия и СНГ;

• АльфаСтрахование-Жизнь;

• ДИТ города Москвы,

• Клуб клиентов Альфа-банка (не представлен в отчете).

Новые уязвимости

В этом разделе представлены ключевые уязвимости, выявленные за последний квартал. Каждая уязвимость была рассмотрена с точки зрения её критичности, методов эксплуатации и наличия POC. Актуальная информация позволяет оценить риски и принять меры по защите информационных систем. Стоит отметить, что первый квартал отметился большим количеством критических уязвимостей.

Уязвимость нулевого дня на устройствах FortiGate (CVE-2024-55591)

CVSS: 9.8

Об уязвимости: В FortiOS и FortiProxy, продуктах компании Fortinet, обнаружена уязвимость, связанная с обходом аутентификации. Затронуты версии FortiOS с 7.0.0 по 7.0.16, FortiProxy с 7.0.0 по 7.0.19 и FortiProxy с 7.2.0 по 7.2.12.

POC: https://github.com/exfil0/CVE-2024-55591-POC

Эксплуатация: Уязвимость позволяет удалённому не аутентифицированному злоумышленнику получить права суперадминистратора на уязвимом устройстве путём отправки специально сформированных запросов к модулю Node.js websocket. Более подробно читайте в статье: https://xakep.ru/2025/02/18/fortios-bypass/

Исправление: Всем пользователям рекомендуется как можно скорее провести обновление FortiOS и FortiProxy до исправленных версий.

IngressNightmare: критическая уязвимость NGINX (CVE-2025-1097, CVE-2025-1098, CVE-2025-24514 и CVE-2025-1974)

CVSS: 8.8

Об уязвимости: Специалисты компании Wiz выявили четыре критические уязвимости под названием IngressNightmare в контроллере Ingress Nginx (популярный компонент Kubernetes, который выступает в роли балансировщика нагрузки и обратного прокси, а также проверяет входящие объекты перед их применением) для Kubernetes, позволяющие злоумышленникам удалённо выполнять произвольный код (RCE) и получать контроль над кластерами.

POC: https://github.com/sandumjacob/IngressNightmare-POCs

Эксплуатация: Злоумышленники с помощью уязвимостей CVE-20251097, CVE-2025-1098, CVE-2025-24514 и CVE-2025-1974 могут добиться выполнения своего кода на серверах облачных систем, использующих платформу Kubernetes, и получить полный привилегированный доступ к кластеру Kubernetes. Технически суть уязвимости состоит в отправке AdmissionReview запроса на Validating эндпоинт Admission Controller'ов с вредоносной конфигурацией, которая в последствии будет сохранена во временный файл и валидирована (nginx -t). Обработка запроса и инжект вредоносной конфигурации происходит из-за недостаточной санитизации входных данных.

Исправление: рекомендуется как можно скорее провести обновление кластеров Kubernetes или временно отключить компонент admission controller или ограничить к нему сетевой доступ, разрешив его только со стороны Kubernetes API Server.

Zero-day уязвимость в Chrome (CVE-2025-2783)

CVSS: 8.3

Об уязвимости: CVE-2025-2783 связана с некорректной обработкой дескрипторов в компоненте Mojo на платформе Windows.

POC: https://github.com/bronsoneaver/CVE-2025-2783

Эксплуатация: Уязвимость позволяла злоумышленнику обойти защиту песочницы без выполнения явно вредоносных действий, как будто защита отсутствовала вовсе. Причиной оказалась логическая ошибка во взаимодействии между песочницей Chrome и операционной системой.

Исправление: рекомендуется как можно скорее провести обновление Google Chrome для всех пользователей.

Zero-click уязвимость NTLM Hash Leak via RAR/ZIP Extraction and .library-ms File (CVE-2025-24071)

CVSS: 6.5

Об уязвимости: CVE-2025-24071 позволяет атакующим получить NetNTLMv2-хеш-суммы паролей в результате некорректной обработки файлов .library-ms в Windows Explorer.

POC: https://github.com/0x6rss/CVE-2025-24071_PoC

Эксплуатация: Windows Explorer автоматически инициирует запрос на аутентификацию SMB, когда файл .Librarary-MS извлекается из архива .rar, что приводит к раскрытию хэша NTLM. Пользователю не нужно открывать или выполнять файл - простого извлечение его достаточно, чтобы запустить утечку.

Исправление: рекомендуется как можно скорее провести обновление для всех пользователей.

Outlook RCE Vulnerability (CVE-2025-21298)

CVSS: 9.8

Об уязвимости: CVE-2025-21298 — это критическая уязвимость удаленного выполнения кода (RCE), обнаруженная в ole32.dll, в частности в функции UtOlePresStmToContentsStm. Уязвимость возникает из-за условия двойного освобождения, что приводит к потенциальной манипуляции памятью и удаленному выполнению кода.

POC: https://github.com/ynwarcs/CVE-2025-21298?utm_source=www.vulnu.com&utm_medium=referral&utm_campaign=zero-click-ole-rce-cve-2025-21298-microsoft-outlook-impacted

Эксплуатация: В сценарии атаки по электронной почте злоумышленник может воспользоваться уязвимостью, отправив жертве специально сформированное электронное письмо. Эксплуатация уязвимости может включать либо открытие жертвой специально созданного электронного письма с помощью уязвимой версии программного обеспечения Microsoft Outlook, либо отображение приложением Outlook жертвы предварительного просмотра специально созданного электронного письма. Это может привести к тому, что злоумышленник выполнит удаленный код на машине жертвы.

Исправление: рекомендуется как можно скорее провести обновление для всех пользователей.

Exploit Active Directory Domain Services (CVE-202521293)

CVSS: 8.8

Об уязвимости: Уязвимость позволяет любому аутентифицированному пользователю получить права уровня SYSTEM POC: https://birkep.github.io/posts/Windows-LPE/#proof-of-conceptcode

Эксплуатация: Первопричиной CVE-2025-21293 являются неправильно настроенные разрешения реестра для группы Network Configuration Operators . Эта группа имеет атрибут CreateSubKey для службы DnsCache и NetBT, и этот атрибут позволяет пользователям в группе создавать подразделы существующих разделов реестра. Используя атрибут CreateSubKey, регистрируются специальные подразделы реестра, связанных с мониторингом производительности. После создания подразделов реестра внедряется вредоносная DLL в целевую систему. Опрашивая счетчики производительности с помощью WMI, загружается библиотека счетчиков производительности, включая вредоносную DLL. Поскольку WMI опрашивает счетчики производительности с повышенными привилегиями, он выполняет вредоносную DLL с привилегиями SYSTEM, расширяя доступ злоумышленника.

Исправление: рекомендуется как можно скорее провести обновление для всех пользователей.

Zero-click уязвимость LDAP Nightmare (CVE-202449112, CVE-2024-49113)

CVSS: 9.8

Об уязвимости: CVE-2024-49112 Уязвимость реализации протокола службы каталогов LDAP операционной системы Microsoft Windows связана с целочисленным переполнением.

CVE-2024-49113 Уязвимость реализации протокола службы каталогов

LDAP (Lightweight Directory Access Protocol) операционных систем Microsoft Windows связана с использованием памяти после ее освобождения

POC: https://github.com/Dliv3/CVE-2024-49112

Эксплуатация: Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании или выполнить произвольный код.

Исправление: рекомендуется как можно скорее провести обновление для всех пользователей.

]]> Фишинговые рассылки хакерских групп против российских компаний (Часть 1) https://steam-snake.ru/blog/tpost/cvkmub5nx1-fishingovie-rassilki-hakerskih-grupp-pro https://steam-snake.ru/blog/tpost/cvkmub5nx1-fishingovie-rassilki-hakerskih-grupp-pro?amp=true Thu, 15 May 2025 13:13:00 +0300 Андрей Никул Рассмотрим фишинговые рассылки группировок Dark Gaboon и TA558 в сторону российских компаний

Фишинговые рассылки хакерских групп против российских компаний (Часть 1)

В этой статье мы проведём краткий обзор фишинговых атак группировок Dark Gaboon и TA558 обнаруженных нами в течение текущего квартала. Обе группировки крайне активны и нацелены на российские компании.

Dark Gaboon

Тип – Сybercrime

Псевдонимы - Vengeful Wolf

Группа DarkGaboon оставалась незамеченной более полутора лет — её кибератаки на российские организации фиксируются с мая 2023 года. Основной вектор атак направлен на финансовые подразделения компаний различного профиля, с целью компрометации инфраструктуры и дальнейшего внедрения вредоносного ПО.

Для первоначального доступа в инфраструктуру используется фишинг, рассылки осуществляются с уже скомпрометированных почтовых адресов. Фишинговые сообщения отличаются высокой степенью достоверности: в них используются аутентичные шаблоны деловых писем, лексика, соответствующая российской финансовой документации, а также грамотно оформленные вложения. В ряде случаев злоумышленники применяют омоглифы (визуально схожие символы из разных алфавитов) в названиях файлов для обхода систем защиты и затруднения детектирования.

Содержание одного из вредоносных архивов

Выше представлено содержание одного из обнаруженных нами вредоносных архивов, распространяемых группой DarkGaboon. В архиве находится 2 файла:

Образец.rtf

Акт сверки взаиморасчетов по состоянию на 23.01.2025 года.exe

Файл «Образец.rtf» выступает в качестве приманки и содержит грамотно оформленный документа для заполнения «Акта Сверки».

Чаcть документа приманки "Образец.rtf"

А исполняемый файл «Акт сверки взаиморасчетов по состоянию на 23.01.2025 года.exe» является сэмплом Revenge-RAT.

Revenge-RAT – вредоносное программное обеспечение класса Remote Access Trojan, RAT, впервые зафиксированное в 2016 году. Основные возможности RevengeRAT включают удалённое выполнение команд, управление файлами и процессами, модификацию системного реестра, запись нажатий клавиш (кейлоггинг), захват изображений с экрана, доступ к веб-камере и микрофону, а также сбор системной информации и данных о пользователе.

Стоит отметить, что исполняемые файлы распространяемы DarkGabon имеют иконки легитимных офисных приложений, например в представленном нами случае, файл имел иконку Microsof Excel

Исполняемый файл

IOC

Сетевые индикаторы

Домен	Контекст
kilimanjaro.cloudns.nz	Dynamic DNS, используется в качестве C2
kilimanjaro.crabdance.com	Dynamic DNS, используется в качестве C2
kilimanjaro.run.place	Dynamic DNS, используется в качестве C2
kilimanjaro.theworkpc.com	Dynamic DNS, используется в качестве C2

IP-адрес	Контекст
196.251.66.118	С2 сервер
31.13.224.86	С2 сервер

Почтовые индикаторы

Тип	Значение
Email	susana.b.1972622@mail.ru
Email	a.mackenzie.57316@mail.ru
Email	djankarlovasyutchev@mail.ru
Email	jean.m.1982446@bk.ru
Email	jocelyn.coleman.2020@list.ru
Email	lyabibaromankoa@mail.ru
Тема письма	Запрос на сверку взаиморасчетов
Тема письма	Акт сверки
Тема письма	Сверка взаиморасчетов
Название вложения	Акт сверки.cab
Название вложения	Документы.cab
Название вложения	Сверка.cab

Файловые индикаторы

Название файла	Акт сверки взаиморасчетов по состоянию на 23.01.2025 года.exe
MD5	b28c4e701872be46495068f65fb2ed80
SHA1	478e5e8cb68289d2656ee3f97c0f3f9e42ce372a
SHA256	5a8374d8c3635023baa69ffaf98d2c7fbf1f18fe9740282137f42ce275720049
Контекст	Файл связан с ВПО Revenge Rat

Название файла	Акт сверки взаиморасчетов по состоянию на 15.01.2025.pdf.exe
MD5	b119c57a54d03db58a17267b623830e5
SHA1	c8dbd02d4d27fbd8e8cdecfc77cb38a657cbaae9
SHA256	b47141849408be4a88494708a982b5f3c7da33a82a6c6562a80aead361b442ba
Контекст	Файл связан с ВПО Revenge Rat

Название файла	Договор на оказание услуг № 104 от 26.12.2024 года.exe
MD5	451b351453918d8ab9a947e83a7095d7
SHA1	4a3fe86222a9e2fbf83e8fb1b4f912d67b0ea577
SHA256	4ef2b9bf8a5db73893962ab58c90c829d91b285ee3d1ce574a5cf491b761015e
Контекст	Файл связан с ВПО Revenge Rat

Название файла	Oбразeц.rtf
MD5	e6db14e40766a7e1b839589602804a14
SHA1	c5b1a3155714caa664e70149f89e2fc0eb57c59b
SHA256	5bf1ec80310cd232990b98605ef4211ec50e84676d150a5a6ed50ed31dfc13ee
Контекст	Документ приманка

TA558

Тип – Cybercrime

Псевдонимы - Romantic Wolf, ODYSSEY SPIDER

Группа TA558 активна как минимум с 2018 года и специализируется на кибератаках с целью финансовой выгоды. Первоначально её деятельность была сосредоточена на гостиничном и туристическом секторах стран Латинской Америки, однако с течением времени наблюдается существенное расширение как целевых отраслей, так и географического охвата. В настоящий момент основные цели группировки включают финансовые и государственные организации по всему миру.

Для доставки вредоносного программного обеспечения (ВПО) группа TA558 применяет многоэтапные фишинговые кампании, в рамках которых используются различные приёмы социальной инженерии и технические методы обхода защитных механизмов. Зачастую в качестве полезной нагрузки применяются трояны удалённого доступа, самыми частыми обнаруженными являются ВПО Agent Tesla и Remcos RAT.

Одной из характерных паттернов группировки является использование префикса «RE:» в теме письма с целью создать у получателя ложное впечатление о ранее ведущейся переписке. В качестве вложений злоумышленники применяют офисные документы, например:

• KRI2024000006885.xls

• Plaćanje_swift.docx

Еще одним уникальным паттерном для группировки ТA558 является использование очень длинных названий файлов, которые выступают в качестве полезной нагрузки.

Ниже представлен один из примеров, обнаруженных нами фишинговых писем группировки TA558

Фишинговое письмо группировки TA558

При открытии вложенного файла происходит обращения к C2 cерверу по ссылке “http://152.228.229[.]214/54/buh/bh/shegivenmebestthingsentietimetogivenmebesthings______betterthingswithbetterwaygetbackwithgreatforme__________bestthingsbetterthingstniertieme.doc” для загрузки и запуска документа “seemybestversionentiretimeshegivenmebestthingsever___________seethebestthingstogivemebestthingswithgreatthings_________goodbestthingshappenedentiretimegivenmebestth.doc” в формате RTF. С помощью данного документа осуществляется попытка эксплуатации уязвимости CVE-2017-11882 — известной уязвимости Microsoft Office, связанной с обработкой ссылок на внешние HTA-файлы.

В случае успешной эксплуатации осуществляется загрузка вредоносного HTA-файла, который инициирует установку Remcos RAT на целевой хост. На момент анализа С2 сервер, предназначенный для загрузки HTA, уже был недоступен.

Документ приманка

Дополнительное внимание заслуживает тот факт, что темы писем и названия вложений чаще всего написаны не на русском языке. В текущем квартале были зафиксированы сообщения на следующих языках:

• Хорватский: RE: Plaćanje Fakture

• Болгарский: RE: Поръчки 25.01.2025

• Румынский: RE: ordin de plată

Данная активность указывает на то, что TA558, скорее всего, использует автоматизированные механизмы рассылки, а не выбирает цели вручную.

IOC

Сетевые индикаторы

Домен	Контекст
test.mycon.link	Используется в качестве C2
mycon.link	Используется в качестве C2
isinstance.com	Используется в качестве C2

IP-адрес	Контекст
52.62.71.21	С2 сервер
152.228.229.214	С2 сервер
216.9.225.212	С данного IP происходит рассылка фишинга
216.9.226.144	С данного IP происходит рассылка фишинга

Почтовые индикаторы

Тип	Значение
Email	info@preciholes.com
Email	import@akdenizhalli.com
Email	sale@megaplasts.com
Тема письма	Добрый день
Тема письма	Re: Re: Re: New Order RY14HT
Тема письма	RE: Plaćanje Fakture
Тема письма	RE: Поръчки 25.01.2025
Тема письма	RE: KRI2024000006885 irsaliyeli sertifikası
Название вложения	София1.docx
Название вложения	Order RY14HT.docx
Название вложения	Plaćanje_swift.docx
Название вложения	KRI2024000006885.xls
Название вложения	ordin de plată.docx

Файловые индикаторы

Название файла	Plaćanje_swift.docx
MD5	0fb329b63a749ec53eae650de2571c6b
SHA1	4bef731f4a309ebd55ccef2efe066d423ebbb07a
SHA256	233e2af33a7b10c569df9b872ac673d6f1b460d0021e280e3478f1ecf203f8dc
Контекст	Вредоносное вложение

Название файла	София14537653.docx
MD5	b32ca4ff80111873bb76fc0c5ae27b9f
SHA1	883a364cea4445779fa7d7ffe8d1cca80127d5c5
SHA256	11a6be3842bc5d9610806c9a5b5fb2e7fe6f6efb484f0e8ca0052865344d1037
Контекст	Вредоносное вложение

Название файла	ordin de plata.docx
MD5	19d5c0505d452d38fb57e09526249134
SHA1	bee65b5b3d107c66bc41ee5480ac1b5c33724cd2
SHA256	9f09c298cff3533e4a087e5155cccf53e451f975dda05bc135c989225433e760
Контекст	Вредоносное вложение

Название файла	Order RY14HT.docx
MD5	9189866d276eed4c378746fbc93e78a0
SHA1	07c862114bff9599a925f268eb1aac161c484670
SHA256	cb131ed0c1be75d81ee886c0ad010c6b3bc5cfa18e4dc997e1071145ebc68267
Контекст	Вредоносное вложение

Название файла	KRI2024000006885.xls
MD5	6a84ab864c223da419c5b71357f93eb4
SHA1	146298e51d73c8e14596321e940f71d357bfe94a
SHA256	e05dd0e760459eabe8933027f189ea3c4880448ed02e8c7db7f774fb0a070131
Контекст	Вредоносное вложение

Название файла	seethebestthingsaroundmeroundme.hta
MD5	66839960abfa5a1d6e3a46ce0fb7799f
SHA1	9c171226a63bde92f6455d178f681da30c18fca5
SHA256	d56acfccb8d17dbd4d1f2796ee28af6a7e9d14c4a99ff71c63aeafe759848e86
Контекст	Файл связан с ВПО Remcos RAT

Название файла	shereallyliketokissy9uuoisheismygirlfriendswholovesmetrulygo
MD5	05887835a99ba5b4c9af5be59cbd3666
SHA1	c3354d324fd9abe310cb080d80ddd55b02785f92
SHA256	cc7d77d7eaf78658e21a950213d1a21c9bc45b1ba279400cbd984468ee721d20
Контекст	Файл связан с ВПО Remcos RAT

Название файла	ccukissmeplsgivrmebest.hta
MD5	24d95803236fde4ee8ebfe4671dc28fe
SHA1	677e9c8b79a59b4fa3c8eab8fd318ae31dcd5d95
SHA256	986b693f564b364a2f69261f1f825d6a26afec8db9a3aa46fd2a964e45dc2a1c
Контекст	Файл связан с ВПО Remcos RAT

]]> Фишинговые рассылки хакерских групп против российских компаний (Часть 2) https://steam-snake.ru/blog/tpost/y887gjo9r1-fishingovie-rassilki-hakerskih-grupp-pro https://steam-snake.ru/blog/tpost/y887gjo9r1-fishingovie-rassilki-hakerskih-grupp-pro?amp=true Thu, 15 May 2025 14:31:00 +0300 Андрей Никул Во второй статье мы рассмотрим фишинговые рассылки группировок Rezet, Vasy Grek и Hive0117 в сторону российских компаний

Фишинговые рассылки хакерских групп против российских компаний (Часть 2)

Во второй обзорной статье по фишинговым рассылкам в сторону российских компаний, мы рассмотрим атаки группировок Rezet, Vasy Grek и Hive0117. Разберём фишинговые письма обнаруженные нами, выделим характерные паттерны группировок, а также предоставим IoC по группам.

Rezet

Тип – Сybercrime

Псевдонимы - Rare Werewolf, Librarian Ghouls

Rezet — финансово мотивированная киберпреступная группировка, впервые зафиксированная в 2018 году. С 2018 года по 2021 год злоумышленники занимались преимущественно распространением майнингового ПО. Однако в дальнейшем Rezet сместила фокус на распространение шпионского ПО.

Как и большинство групп, упомянутых в данном отчёте, Rezet использует фишинг как основной способ доставки вредоносного программного обеспечения (ВПО). В своих атаках злоумышленники в основном нацелены на кражу офисных документов, а также файлов связанных с Opera, Google Chrome, Яндекс и Telegram. Также Rezet активно использует легитимные утилиты MIPKO Employee Monitor и AnyDesk в качестве бэкдора и почтовую утилиту blat.exe для эксфильтрации данных.

Одна из обнаруженных нами атак Rezet — фишинговое письмо с вложением - архивом, оформленным под бухгалтерскую документацию

Фишинговое письмо группировки Rezet

Архив содержит файл «1C Предприятие Платежное поручение.scr», который представляет собой вредоносный исполняемый скрипт, маскирующийся под документ 1С.

При открытие файлы запускается документ приманка, а также происходит запуск сценария в результате которого происходят следующие действия:

Установка AnyDesk для получения удаленного доступа

Установка и запуск инструментов для последующих этапов атаки

Установка утилиты blat.exe для эксфильтрации данных

Отключение всех профилей брандмауэра Windows

Удаление службы брандмауэра MpsSvc

Остановка службы Windows defender

Фрагмент документа приманки.

После завершения сбора информации создаётся локальная директория, куда помещаются украденные файлы. По завершении этого этапа с помощью почтовой утилиты blat.exe украденные данные отправляются с помощью электронных писем.

IOC

Сетевые индикаторы

IP-адрес	Контекст
176.123.0.55	С2 сервер
185.125.51.5	С2 сервер

Почтовые индикаторы

Тип
Email	oksana@email-offices.online
Email	irina93562@yandex.ru
Email	info@salut-contact.online
Email	dkba@dkba.xyz
Email	nikolay6189@yandex.ru
Тема письма	Здравствуйте, как и договаривались я оплатила сразу всю сумму
Тема письма	Исходящий документ №55/О/69-7354 от 05.03.2025
Тема письма	Здравствуйте.
Тема письма	Добрый день.
Название вложения	1C. Бухгалтерия Платежное поручение.rar
Название вложения	РЭ-Исх-ПО-8564.rar
Название вложения	Платежное поручение № 131.rar
Название вложения	Платежное поручение №10014839-2025.rar
Название вложения	Платежное поручение №10008094-2025.rar

Файловые индикаторы

Название файла	find.cmd
MD5	ac94840e6daac828eba6ea052832524b
SHA1	831d2e2d163af8973ccfb671da98386da235be26
SHA256	17d059d9c0237331af0d36ec6e3acc6665c150712b58206aca821ee593a16f98
Контекст	Исполняемый файл для загрузки дополнительных инструментов

Название файла	Trays.exe
MD5	90d208b856dea18596d57ffb1dd3a867
SHA1	7ee41eeadf39a001b6149738b874d998911055ef
SHA256	344de5b82b337e49c0f30748e0bc74afc1ebcf90df4bd0eed5298b5cd57282d9
Контекст	Исполняемый файл для закрепления и загрузки дополнительных инструментов

Название файла	driver.exe
MD5	5693a72e1b1c87d94942d3f7eba01e78
SHA1	fef495c0e186032cce6878d275612d3681dbc351
SHA256	3bd296494ca1c241f17435234b1007db6db0d1df3828b8ead0b4e7cd778115d3
Контекст	Исполняемый файл для сбора и взаимодействия с документами и архивами

Название файла	1C Предприятие Платежное поручение.scr
MD5	fe967553567538c1420d15dfa2c3c95a
SHA1	90d84a94c63c6dd752127b3da1bd4923445e6015
SHA256	21cd9edb74edb772dfb956cf5ad8e2fca1777793f0932bba9780982d09b63d6c
Контекст	Вредоносный исполняемый файл

Название файла	Исх_ЦИКЛ_Постановка_ЭКБ_РИД_Испытания
MD5	f503bbaa89cd6ec7cf65afe85fcda3ff
SHA1	7fc9e0448573919f8b1585b7aa83cd8cfa46cd6e
SHA256	0fa96933a139edef25e60741ea64a84907f993f5ab9207adfddb8bb7500c568f
Контекст	Вредоносный исполняемый файл

Название файла	1C. Бухгалтерия Платежное поручение.scr
MD5	bf0d702ff67da67a2583811249006575
SHA1	5dce51c10be94dfbbf2a9c434b38af70ba9de3b2
SHA256	9e3ec43f74450e1de261c2c93dfe2454571ad3132a524cb07f302d935b4c6f73
Контекст	Вредоносный исполняемый файл

Vasy Grek

Тип – Сybercrime

Псевдонимы - Fluffy Wolf

Vasy Grek – предположительно русскоязычный злоумышленник активный как минимум с 2020 года. Его деятельность направлена на компрометацию финансовых организаций в России и странах Европы, с целью кражи конфиденциальной информации и установки вредоносного ПО.

Для доставки ВПО злоумышленник использует фишинг ориентированный на бухгалтерскую тематику. Темы сообщений включают такие ключевые фразы, как: «Акт Сверки», «Платежное поручение 1С» и другие финансовые термины.

После успешной компрометации системы с помощью PureCrypter происходит инсталляция различного ВПО, например META Stealer, RedLine, PureLogs, WarzoneRAT, ZgRAT и BurnsRAT. Также в своих последних атаках в арсенале злоумышленника появились различные VBS сценарии для обфускации и закрепления в систем.

В обнаруженных нами фишинговых атаках VasyGreck используется не только вложения, но и также ссылки на внешние ресурсы для скачивания вредносных архивов.

Фишинговое письмо злоумышленника VasyGreck

Подход злоумышленника к составлению фишинговых сообщений не отличается высоким уровнем подготовки. В частности, контактные данные, указанные в письме для обратной связи, никак не связаны между собой и не соответствуют адресу электронной почты, с которого осуществляется рассылка.

Тем не менее, при переходе по содержащейся в письме ссылке происходит загрузка архива

Архив с вредоносным вложением

Внутри архива содержится единственный файл с двойным расширением PDF.com. При запуске данного файла срабатывает цепочка действий, инициируемая VBS-скриптами. Они извлекают и запускают файл StillKrip.exe, который является компонентом PureCrypter — криптера, относящегося к семейству PureRAT. Данный компонент запускает утилиту InstallUtil.exe, а также создает VBS скрипт для автозапуска и закрепления полезной нагрузки. Далее InstallUtil.exe извлекает финальную часть полезной нагрузки — стилер PureLogs, предназначенный для сбора и передачи конфиденциальных данных

IOC

Сетевые индикаторы

Домен	Контекст
apstori.ru	Используется для загрузки ВПО

IP-адрес	Контекст
51.255.36.130	IP адрес
185.125.51.5	С2 сервер

Почтовые индикаторы

Тип
Email	eko-trans.57@yandex.ru
Email	pesokstroy32@yandex.ru
Тема письма	Fwd: Акт сверки
Тема письма	Для гл Бухгалтера АКТ СВЕРКА
Название вложения	akt_sverka_1C_PDF.rar.xlxs
URL	https://apstori[.]ru/doc_18_03_2025_056595663336.rar

Файловые индикаторы

Название файла	doc_18_03_2025_056595663336.rar
MD5	28f5555ecbc1e3d827adbea781499f97
SHA1	5f45b775005abdb6a0d76be55160c6ceb6e6cff3
SHA256	ae28f40e7dfa89bc0b22a4e20ccad97ef81f1111ff3253fbe5dbcb2c5234ed8c
Контекст	Вредоносный архив, скаченный по ссылке

Название файла	doc_18_03_2025_056595663336.PDF.exe
MD5	9ed235f555f8f7975bdf658aa8cf1130
SHA1	9ebe5ff9f6b237ff845e8d8fbb1b1009daaf5a44
SHA256	5d3674fb15f2e351edcf5eefbee59143845720a41167502266224636410e950f
Контекст	Вредоносный исполняемый файл из архива

Название файла	Buh_1C_doc_22042025_PDF.exe
MD5	1102c3250202d3bcee15508d5883e077
SHA1	14ed976ea75a2427d23096c3a3ef04ce3c1b1ad3
SHA256	14aa84e4c2d563973fe0a0fed6cde32c6aacc5ac1cdb23f854f81379bd37befa
Контекст	Вредоносный исполняемый файл из архива

Название файла	Doc_1C_buh_17_04_2025_www.exe
MD5	e545067215a014b2c02c67e9c282c10c
SHA1	da7c5f209e76283b722ec0cc34cf63785394ab73
SHA256	1337cb01e8a42520fb4da2ae480a2ae1d5868e34d9b45030891a487a3d9d26a9
Контекст	Вредоносный исполняемый файл из архива

Название файла	StilKrip.exe
MD5	41b015a3a3691055247e098dcd74d07f
SHA1	dd028e178a752f86bd54a45120bc7ab823dab6a3
SHA256	9650e0130059ff5f936e33258151561358498a37ef593e56c0b05d706267a89f
Контекст	Компонент PureCrypter

Название файла	InnerException.vbs
MD5	b0d939d39a995e41807f6e156fd059a4
SHA1	52538204bfa442476c4a42df2c86f0f3d6a46871
SHA256	3acf75794f0c39f50aa8aa2ed3970b5e3e1e42b319f5574c27ecfabbb59df112
Контекст	Вредоносный vbs скрипт

Название файла	SyncRoot.vbs
MD5	05b69e71de5ee8d66dc0b037f58af788
SHA1	41044d33bbec78700db2199b41587c73cca82305
SHA256	78cfb96ac52015bea3cdbf28e37a496b32230c9d34b8d28a80225ba63d863153
Контекст	Вредоносный VBS скрипт

Hive0117

Тип – Cybercrime

Псевдонимы - Watch Wolf

Hive0117 – финансово мотивированная киберпреступная группировка, впервые зафиксированная в ноябре 2021 года. Как и другие злоумышленники, представленные в данном отчёте, Hive0117 использует фишинг в качестве основного вектора первоначального доступа. В своих рассылках группировка мимикрируют под различные государственные органы РФ, крупные компании и письма с ответами от коллег. Фишинговые письма, как правило, содержат архив с вредоносным ПО: DarkWatchman RAT и кейлогером на C#.

Фишинговое письмо Hive0117 от имени ФСП

Выше представлен пример обнаруженного нами фишингового письма от Hive0117 от имени ФССП. При внимательном анализе содержимого письма можно отметить, что указанные правовые ссылки, номера федеральных законов, адреса и фамилии должностных лиц — соответствуют реальным данным. Это свидетельствует о том, что злоумышленники тратят ресурсы на подготовку своих рассылок, что значительно повышает вероятность успешной атаки. Подобные совпадения усиливают доверие со стороны получателя и увеличивают шансы на запуск вложенного архива.

Тем не менее, письмо содержит стилистические и пунктуационные ошибки, а также логические сбои в структуре текста. Все это остается потенциальным индикатором фишинга при внимательном анализе. Также при ретроспективном анализе фишинговых писем группировки, можно заметить повторение некоторых рассылок через какое-то время.

К письму прикреплён zip архив в котором находиться идентичный по названию исполняемый файл “ Исполнительный лист №1710646-25 от 03.02.2025.exe” c иконкой PDF документа

Содержимое вредоносного архива

После запуска исполняемого файла на рабочем столе появляется информационное ложное диалоговое окно с сообщением об ошибке открытия документа

Диалоговое окно приманка

В этот момент в системе создаётся файл c JavaScript -кодом, который впоследствии запускается через cmd.exe с использованием wscript.

В результате выполнения скрипта на хост жертвы устанавливается вредоносное ПО DarkWatchman RAT.

Также нами была обнаружено, что после открытия исполняемого файла, происходит запуск обфусцированного с помощью Base-64 Powershell скрипта.

В Base64 находиться обфусцированный C# код, который исполняется с помощью команды «Add-Type -TypeDefinition», которая также находиться в Base64 строке. Данный C# код является кейлогером, который собирает информацию о нажатие клавиш и записывает их в ключ реестра «HKCU\Software\Microsoft\Windows\DWM» в строковом значение.

IOC

Сетевые индикаторы

Домен	Контекст
4ad74aab.online	Использовался в качестве С2
4ad74aab.store	Использовался в качестве С2
4ad74aab.site	Использовался в качестве С2
4ad74aab.fun	Использовался в качестве С2
fssp.website	С данного домена осуществлялась фишинговая рассылка
ponyexpress.cfd	С данного домена осуществлялась фишинговая рассылка
ponyexpress.sbs	С данного домена осуществлялась фишинговая рассылка

IP-адрес	Контекст
185.159.131.10	С2 сервер
94.159.100.214	С2 сервер

Почтовые индикаторы

Тип	Значение
Email	mail@fssp.website
Email	mail@ponyexpress.sbs
Email	mail@ponyexpress.cfd
Тема письма	Исполнительный лист №1710646-25 от 03.02.2025
Тема письма	Исполнительный лист №27186421-25 от 03.02.2025
Тема письма	Уведомление об окончании срока бесплатного хранения
Название вложения	Исполнительный лист №171064625 от 03.02.2025.zip
Название вложения	Исполнительный лист №2718642125 от 03.02.2025.zip
Название вложения	Накладная №17183140617.zip
Название вложения	Накладная №18621140406.zip
Название вложения	Накладная №20361142981.zip
Название вложения	Накладная №27164140814.zip

Файловые индикаторы

Название файла	Исполнительный лист №27186421-25 от 03.02.2025.zip
MD5	2d7884f1217ee0e3cdd1d5e05a23d334
SHA1	af73a20b0ce64d2db370e8f2b65e6d28c4b58839
SHA256	0ad0c1d0348d526f7c84923a80a4f74c923715d9ca9fff3aebf07d81009a51a1
Контекст	Вредоносный архив

Название файла	Накладная №171-8314-0617.exe
MD5	361e748f9cdef7a1aeea083ace075a64
SHA1	653847a64575768a2af15f6fccc4c7c20ee917a0
SHA256	66ee7011fdf4052fb960afdba3f30661b4cf29b99142ace75a8896a88d27183e
Контекст	Вредоносный исполняемый файл

Название файла	Накладная №186-2114-0406.exe
MD5	b646f1395e267ae7c00a300abf8f2a1e
SHA1	033c30c79c22c1883beefc01b3e6cc09b7f07894
SHA256	fb341be26730b0fb9202852ffa0ea8c25b26b7a1aab8950d8bd0c09c8600322a
Контекст	Вредоносный исполняемый файл

Название файла	Накладная №203-6114-2981.exe
MD5	84904e08cba761c332a3d66e736cc3dd
SHA1	403aeecff4eb02027b59ef11ea843ea5d73db371
SHA256	cc2bb9e2c3fbed49597a10447440c931b520871891d881ae79fe6ec9b55d0b40
Контекст	Вредоносный исполняемый файл

]]>