BI.ZONE зафиксировала атаки на оборонно-промышленный комплекс и объекты критической инфраструктуры с целью шпионажа
Группировка Core Werewolf применяет фишинг и легитимное ПО, чтобы получить полный контроль над системой пользователя, копировать файлы, отслеживать его действия. Цель преступников — конфиденциальная информация о российских критически важных объектах.
Сегодня у многих киберпреступников и АРТ-группировок стало трендом использование легитимных средств для того, чтобы дольше оставаться незамеченными.
Пример такой группировки — Core Werewolf, которая начала деятельность не позже августа 2021 года и продолжает атаки до сих пор. Эксперты киберразведки BI.ZONE проанализировали документы, которые преступники использовали для отвлечения внимания жертв, и выяснили: основными целями шпионов стали российские организации, связанные с оборонно-промышленным комплексом и критической инфраструктурой.
Для проникновения в учреждения атакующие использовали фишинговые письма со ссылками на опасные файлы, замаскированными под документы форматов docx и pdf: постановления и приказы, методические пособия, служебные записки и резюме. При открытии такого файла пользователь видел заявленный документ, в то время как на его устройство в фоновом режиме устанавливалась программа UltraVNC. Это легитимное ПО, которое часто используют для удаленного подключения к компьютеру. Атакующие же таким образом получали доступ к скомпрометированному устройству.
«Сегодня группы все чаще отказываются от вредоносного ПО в пользу легитимных или встроенных в операционную систему инструментов. Пример Core Werewolf в очередной раз доказывает эффективность таких методов в управляемых человеком атаках», — отметил Олег Скулкин, руководитель управления киберразведки BI.ZONE.
Чтобы снизить риски подобных атак, необходимо выстраивать и реактивный, и проактивный подход к обнаружению киберугроз. Эксперты BI.ZONE рекомендуют защищать электронную почту специализированными решениями, которые блокируют вредоносные письма. Кроме того, необходимо наладить мониторинг событий кибербезопасности, чтобы отслеживать подозрительное поведение легальных программ.
похожие материалы
Дьявольская мышь за $44: как взломать компьютер за несколько секунд
Исследователи продемонстрировали устройство EvilMouse - внешне обычную USB-мышь, которая при подключении к компьютеру автоматически выполняет вредоносные команды и может открыть злоумышленнику доступ к системе с повышенными правами.
Фальшивые AI-ассистенты в Chrome заразили 260 тыс. браузеров через скрытые iframes
Исследователи из платформы безопасности LayerX обнаружили крупномасштабную кампанию вредоносных расширений для Google Chrome, замаскированных под «помощников на базе искусственного интеллекта».
OpenAI vs DeepSeek: американский гигант обвинил китайцев в копировании ИИ через «дистилляцию» моделей
Компания OpenAI направила служебную записку в Специальный комитет Палаты представителей США по стратегической конкуренции с Китаем, в которой обвинила китайский стартап DeepSeek в использовании «методов дистилляции» для обучения собственных моделей на основе выходных данных американских ИИ-систем.
Хактивисты Head Mare используют новый вредонос PhantomHeart и активнее автоматизируют кибератаки
В конце 2025 года аналитики Cyber Threat Intelligence из «Лаборатории Касперского» обнаружили новую волну целевых кибератак хактивистов Head Mare — на российские государственные структуры, строительные и промышленные предприятия.
Фейковые сайты «Европола» и «Интерпола» атакуют россиян
Компания CICADA8 сообщила о резком росте числа фишинговых ресурсов, которые выдают себя за официальные сайты Европола и Интерпола.
Пенсионеры бьют тревогу: мошенники переключились на стационарные телефоны
Злоумышленники начали активно использовать стационарные телефоны для обмана россиян.
«Белые воротнички» под ударом: директор по ИИ Microsoft прогнозирует автоматизацию большинства рабочих задач
В течение 1-1,5 года большинство рабочих задач «белых воротничков» будут полностью автоматизированы с помощью искусственного интеллекта, заявил генеральный директор Microsoft по ИИ Мустафа Сулейман.
«Газинформсервис» выступит партнёром Уральского форума «Кибербезопасность в финансах»
18–20 февраля в Екатеринбурге пройдёт Уральский форум «Кибербезопасность в финансах», компания «Газинформсервис» — партнёр мероприятия — представит свои решения в сфере ИБ и ИТ, а также поучаствует в одной из сессий.
Есть куда расти: эксперты оценили уровень зрелости ИБ российских компаний
Эксперты бизнес-направления AKTIV CONSULTING Компании «Актив» представили первый аналитический отчет «Оценка уровня зрелости информационной безопасности».
Microsoft представила детектор LLM-бэкдоров и назвала три признака заражения открытых моделей
Microsoft объявила о создании нового инструмента для выявления скрытых бэкдоров в крупных языковых моделях с открытыми весами, которые используются в корпоративной среде.