Поделиться
Россия под атакой. Госучреждения и дипломатические службы России под волной кибератак
Сотрудники «Лаборатории Касперского» выявили продолжающуюся с начала 2025 г. кампанию кибершпионажа, организованную APT-группой Tomiris. Основными целями кибератак стали государственные учреждения и дипломатические службы в России и странах Содружества Независимых Государств. Для первичного доступа злоумышленники используют целевые фишинговые рассылки с вредоносными архивами.
Кибератаки становятся массовыми
Группа Tomiris атакует дипломатические службы и другие госучреждения в России и Содружества Независимых Государств (СНГ), об этом CNews сообщили представители «Лаборатории Касперского». C действиями группы в ноябре 2025 г. столкнулись уже более тысячи пользователей.
По данным «Лаборатории Касперского», для начального проникновения хакеры применяют таргетированные фишинговые письма с вредоносными архивами. Исполняемые файлы внутри замаскированы под легитимные документы, содержание которых тщательно подгоняется под конкретную организацию и страну. Одна из зафиксированных приманок — письма с просьбой оставить отзыв на «Проекты по развитию регионов России». При открытии файла устройство заражается.
Фишинг – это такой вид мошенничества, когда злоумышленник вынуждает пользователя совершить действие, позволяющее ему получить доступ к ИТ-системе устройства, учетным записям или персональным данным. Выдавая себя за человека или говоря от имени организации, которым вы доверяете, мошенник легко может заразить устройство вредоносным ПО или попасть внутрь ИТ-инфраструктуры компании.
Анализ экспертов по информационной безопасности (ИБ) выявил, что в кибероперациях злоумышленников больше половины таргетированных фишинговых писем и файлов-приманок содержат текст на русском языке. Из этого следует, что ее жертвами в первую очередь должны были стать русскоязычные пользователи, что подтверждает основной фокус ИТ-атак на русскоязычные организации. Остальные письма были адаптированы для Туркменистана, Киргизии, Таджикистана и Узбекистана и составлены на соответствующих языках.
Впервые о деятельности Tomiris ИБ-специалисты «Лаборатории Касперского» сообщили в 2021 г. Ранее группа также фокусировалась на кибератаках на государственные структуры в СНГ, основной целью которых была кража внутренних документов.
Как проходит кибератака
Для закрепления в скомпрометированных ИТ-системах advanced persistent threat (APT)-группа Tomiris использует разные виды вредоносных имплантов. На начальном этапе внедряются реверс-шеллы, написанные на разных языках программирования. Затем развертываются дополнительные ИТ-инструменты — в частности, фреймворки AdaptixC2 и Havoc.
В некоторых случаях в роли C2-серверов выступают публичные ИТ-платформы Telegram и Discord. Как отметил CNews эксперт по кибербезопасности в «Лаборатории Касперского» Олег Купреев, вероятнее всего, так в 2025 г. злоумышленники пытаются скрыть вредоносный трафик среди легитимной активности этих ИТ-сервисов.
Вредоносное программное обеспечение (ПО) ориентировано на поиск и выгрузку конфиденциальных данных, прежде всего файлов расширениями .jpg, .jpeg, .png, .txt, .rtf, .pdf, .xlsx и .docx.
Меры предосторожности для защиты от фишинга
Прежде чем делиться конфиденциальной информацией, всегда руководствуйтесь здравым смыслом. Если пришло письмо якобы от банка или другой крупной компании, никогда не кликайте по ссылкам внутри сообщения. Сотрудник должен открыть браузер и вручную ввести официальный адрес сайта в строке браузера — так он гарантированно попадете на настоящий ресурс организации.
Сотрудник компании никогда не должен поддаваться на тревожные сообщения. Ни один серьезный банк, страховая компания или другая уважаемая организация не будет требовать от него пароли, данные карт или иные учетные сведения по электронной почте. Если же пришло фишинговое письмо — немедленно удалите его и самостоятельно и позвоните в компанию по официальному номеру телефона из договора, с карты или с их сайта.
Не открывайте вложения, содержащиеся в подозрительных письмах или письмах от неизвестного адресата, особенно файлы в форматах Word, Excel, PowerPoint или PDF.
Никогда не переходите по ссылкам в письме, поскольку это может привести к загрузке вредоносного ПО. С осторожностью относитесь к письмам от поставщиков или третьих лиц. Никогда не переходите по содержащимся в них ссылкам. Вместо этого зайдите на сайт поставщика, введя его веб-адрес вручную, и ознакомьтесь с его правилами и политиками в отношении запроса информации у контрагентов.
Своевременно обновляйте ПО и операционную систему (ОС). ИТ-продукты для Windows часто становятся мишенью для фишинга и других вредоносных кибератак, так что убедитесь, что они надежно защищены и своевременно обновляются. Особенно если у организации установлены более ранние версии ОС, чем Windows 11.
ИТ-решения «Лаборатории Касперского» защищают от данной угрозы и детектируют ее следующими вердиктами:
HEUR:Backdoor.Win64.RShell.gen;
HEUR:Backdoor.MSIL.RShell.gen;
HEUR:Backdoor.Win64.Telebot.gen;
HEUR:Backdoor.Python.Telebot.gen;
HEUR:Trojan.Win32.RProxy.gen;
HEUR:Trojan.Win32.TJLORT.a;
HEUR:Backdoor.Win64.AdaptixC2.a.
Короткая ссылка
