Группа Tomiris атакует дипломатические службы и другие госучреждения в России и СНГ
«Лаборатория Касперского» проанализировала кампанию кибершпионажа APT-группы Tomiris, активную с начала 2025 года. Атаки, которые продолжаются до сих пор, нацелены на госсектор, преимущественно дипломатические службы, в России и СНГ. C действиями группы столкнулись более тысячи пользователей.
Чтобы получить первоначальный доступ, злоумышленники рассылают целевые фишинговые письма с вредоносными архивами. Внутри содержится исполняемый файл, замаскированный под различные официальные документы. В одном из обнаруженных писем атакующие просят дать отзыв на проекты, якобы направленные на развитие российских регионов. Если запустить файл из архива, это приведёт к заражению компьютера жертвы.
Больше половины таргетированных фишинговых писем и файлов-приманок в кампании 2025 года содержат текст на русском языке. Из этого следует, что её жертвами в первую очередь должны были стать русскоязычные пользователи и организации. Остальные письма были адаптированы для Туркменистана, Кыргызстана, Таджикистана и Узбекистана и составлены на соответствующих языках.
Для проникновения в систему группа использует разные виды вредоносных имплантов. В большинстве случаев заражение начинается с развёртывания реверс-шеллов, ожидающих дальнейших команд. Они написаны на разных языках программирования. На следующих этапах атаки импланты устанавливают дополнительные инструменты, включая фреймворки AdaptixC2 и Havoc, для дальнейшей эксплуатации и закрепления в системе. В некоторых случаях в качестве командного сервера используются Telegram и Discord. Вредоносное ПО ищет на заражённых устройствах конфиденциальные данные: злоумышленников, в частности, интересуют файлы с расширениями .jpg, .jpeg, .png, .txt, .rtf, .pdf, .xlsx и .docx.
«Тактики Tomiris явно эволюционировали: они направлены на то, чтобы максимально скрыть вредоносную активность, а также долгосрочно закрепиться в системе. Этому, в том числе, способствует использование вредоносных имплантов на разных языках. Группа стала чаще полагаться на инструменты, которые задействуют в качестве командных серверов общедоступные сервисы, такие как Telegram и Discord. Вероятнее всего, так злоумышленники пытаются скрыть вредоносный трафик среди легитимной активности этих сервисов», — комментирует Олег Купреев, эксперт по кибербезопасности в «Лаборатории Касперского».
Теги:
похожие материалы
Украинские телефонные мошенники переключились с россиян на жителей Европы
Украинские колл-центры, занимавшиеся телефонным мошенничеством, начали смещать фокус с граждан России на жителей стран Европы и СНГ.
Мошенники начали подделывать голоса следователей с помощью ИИ
Следственное управление в Калининградской области предупредило о новой схеме дистанционных мошенничеств, в которой злоумышленники используют технологии искусственного интеллекта для подделки голосов и изображений публичных сотрудников Следственного комитета.
Respawn Entertainment предупредила о новой волне атак на игроков Apex Legends
Разработчики Apex Legends сообщили о зафиксированной волне кибератак, направленных на игроков и инфраструктуру онлайн-сервисов игры.
Виртуальные машины в облаке и резервное копирование в приоритете у петербургского бизнеса
Популярность облачных сервисов у компаний в Санкт-Петербурге и Ленинградской области стабильно росла в 2025 году.
ViPNet Prime получил сертификацию ФСБ России
Компания «ИнфоТеКС» информирует о получении сертификата ФСБ России на средство криптографической защиты информации ViPNet Prime Key Center из состава системы централизованного управления продуктами и решениями ИнфоТеКС ViPNet Prime.
Правительство России планирует усилить защиту граждан от кибермошенников новыми мерами
В российском правительстве обсуждаются дополнительные меры по усилению защиты населения от кибермошенничества.
Гарда в 3 раза увеличила скорость сканирования больших баз данных
Гарда выпустила крупное обновление системы маскирования данных «Гарда Data Masking».
В Telegram начали использовать нестандартные proxy-ссылки для обхода блокировок и автоматизации
В Telegram появились сообщения о распространении нового типа deep-ссылок proxy, которые позволяют пользователям и скриптам обходить ограничения доступа к мессенджеру и автоматически подключаться через прокси-серверы.
В новогодние праздники киберпреступники усилили атаки на ключевые отрасли России
Компания RED Security, открытая экосистема ИБ-решений и экспертизы для комплексной защиты бизнеса, зафиксировала резкое увеличение доли высококритичных кибератак в период в период новогодних праздников.
«Лаборатория Касперского» расскажет школьникам на «Уроке цифры» про кибербезопасность в космосе
В этом учебном году «Урок цифры» от «Лаборатории Касперского» пройдёт в российских школах с 19 января по 8 февраля 2026 года.