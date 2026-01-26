Разделы

Шпионы Vortex Werewolf мимикрируют под Telegram

В декабре 2025 г. — январе 2026 г. специалисты Bi.Zone Threat Intelligence зафиксировали серию атак группировки Vortex Werewolf, нацеленных на оборонно-промышленные предприятия (ОПК) и органы государственного управления. Атаки начинались с очень правдоподобного фишинга: жертве предлагали скачать «важные рабочие документы» по ссылке, выглядевшей как файловое хранилище Telegram. На самом деле переход по ссылке позволял злоумышленникам установить на Windows-устройство пользователя вредоносное ПО, а также перехватить доступ к его телеграм-аккаунту. Об этом CNews сообщили представители Bi.Zone.

Ряд признаков указывают на то, что фишинговую ссылку злоумышленники отправляли пользователю напрямую в Telegram, но могли также использовать электронную почту.

Если пользователь переходил по ссылке, запускался процесс восстановления доступа к его телеграм-аккаунту. Жертву просили ввести код, полученный на другом устройстве, а если учетная запись была защищена двухфакторной аутентификацией, то еще и облачный пароль, якобы для того, чтобы документ мог отобразиться полностью. На самом деле таким образом атакующие получали доступ к активной сессии Telegram, всем перепискам и контактам пользователя.

Олег Скулкин, руководитель Bi.Zone Threat Intelligence: «Компрометация телеграм-аккаунтов может быть интересна злоумышленникам сразу по нескольким причинам. Полученные контакты можно использовать для дальнейшей рассылки фишинговых ссылок, причем делать это с угнанного аккаунта, чтобы сообщения выглядели достоверно и не вызывали подозрений. Кроме того, многие пользователи до сих пор хранят в «Избранном» фото и сканы документов, ссылки на рабочие ресурсы, нередко даже логины и пароли — словом, важную информацию, которая должна быть под рукой. К сожалению, этим активно пользуются атакующие, для которых такие сведения представляют большую ценность».

Однако одним угоном аккаунта преступники не ограничивались. После того как пользователь вводил необходимые коды и пароли, на его устройство загружался ZIP-архив. Внутри находился вредоносный файл, замаскированный под PDF-документ, а также скрытый каталог с еще одним архивом, который содержал множество файлов. Открывая «документ», пользователь запускал вредоносный скрипт, который в конечном счете предоставлял злоумышленникам удаленный доступ к системе. Чтобы управлять устройством скрытно, злоумышленники устанавливали на него OpenSSH и Tor. OpenSSH — легитимный инструмент для безопасного удаленного подключения, но злоумышленники использовали его для связи со своим командным сервером. Чтобы скрыть это соединение, атакующие перенаправляли весь трафик через Tor.

Что меняется в партнерских программах на рынке информационной безопасности
Безопасность

Основная цель группировки Vortex Werewolf — шпионаж. Кластер активен как минимум с декабря 2024 г. Незадолго до зимней серии атак на Россию исследователи Cyble и Secrite выявили похожую кампанию этой группировки, нацеленную на белорусские предприятия ОПК и государственные организации.

Ранее специалисты Bi.Zone Digital Risk Protection зафиксировали значительный рост числа мошеннических доменов, нацеленных на угон аккаунтов Telegram.

Фишинг по-прежнему занимает первое место среди векторов атак. Чтобы обезопасить себя, компании должны систематически обучать сотрудников правилам кибергигиены и проводить регулярные тренинги. Это значительно повысит шансы распознать злоумышленника. В том числе в мессенджерах или социальных сетях. Для защиты электронной почты можно использовать специализированные сервисы, фильтрующие нежелательные письма. А выстраивать эффективную киберзащиту и быстро реагировать на киберинциденты помогают данные порталов киберразведки, предоставляющие информацию об актуальных киберугрозах.

