Поделиться
Кибершпионы стали притворяться госслужащими Кыргызстана
Все лето 2025 г. кластер Cavalry Werewolf атаковал российские организации, выдавая себя за госслужащих Кыргызстана. Целью злоумышленников стали государственные учреждения, а также компании из сферы энергетики, добычи полезных ископаемых и обрабатывающей промышленности. Мотивация кибергруппировки — шпионаж. Об этом CNews сообщили представители Bi.Zone.
Притворяясь сотрудниками различных министерств Республики Кыргызстан, атакующие рассылали жертвам письма с якобы важными документами. На самом деле в RAR-архивах скрывалось вредоносное ПО. Причем это были не коммерческие, массовые программы, которые можно купить на теневых площадках. Злоумышленники создавали собственные: реверс-шеллы FoalShell и трояны удаленного доступа StallionRAT с управлением через Telegram. Эти инструменты позволяли атакующим удаленно управлять скомпрометированным устройством.
Для рассылок преступники чаще всего создавали почтовые ящики, похожие на настоящие адреса чиновников. Однако в некоторых случаях использовали реальный e-mail, скомпрометированный ранее, — он был указан в качестве контактного на сайте одной из госструктур республики.
Олег Скулкин, руководитель Bi.Zone Threat Intelligence: «Злоумышленники используют информационную и политическую повестку в своих интересах. Мимикрия под госслужащих стран СНГ — это способ вызвать у пользователя доверие и подтолкнуть его открыть письмо с вложениями. Важно помнить, что организации, под которые маскируются злоумышленники, не несут ответственности за действия преступников и причиненный в результате ущерб. Фишинговые письма Cavalry Werewolf не выбивались из стилистики официальной переписки. Правдоподобный фишинг, который сложно распознать, а также использование самописных программ и активные эксперименты с арсеналом — характерный почерк шпионских группировок. Их главная цель — как можно дольше оставаться незамеченными в скомпрометированной инфраструктуре».
Специалисты Bi.Zone Threat Intelligence также выявили признаки, которые могут свидетельствовать о подготовке кластером новых кибератак, на этот раз против Таджикистана и стран Ближнего Востока. В частности, были обнаружены созданные злоумышленниками файлы с названиями на таджикском и арабском языках. Кроме того, Cavalry Werewolf продолжает видоизменять свой арсенал и тестирует новые вредоносные программы, в частности, троян удаленного доступа Async RAT. В отличие от самописных инструментов, которые кластер использовал в летней кампании против российских организаций, этот троян бесплатен и доступен на одной из самых популярных платформ для хостинга ИT-проектов. Но для своих задач злоумышленники выбрали не базовую версию программы, написанную на C#, а ее модификацию, переписанную на языке программирования Rust.
Ранее эксперты Bi.Zone Threat Intelligence сообщали, что доля атак с целью шпионажа продолжает расти. В 2023 г. этот показатель составил 15% от всех инцидентов, к концу 2024 г. — 21%, а по итогам первой половины 2025 г. достиг рекордных 36%.
Большинство кибератак на организации России и других стран СНГ начинаются с фишинговых писем. Чтобы защититься от них, необходимо использовать специализированные сервисы, фильтрующие нежелательные письма. А порталы киберугроз помогут выстроить проактивную защиту компании и обеспечить быстрое реагирование на инциденты, предоставляя подробную информацию об актуальных атаках, злоумышленниках, их тактиках, техниках, инструментах, а также сведения с теневых ресурсов.
Короткая ссылка
