«Лаборатория Касперского» обнаружила целевые атаки на российские компании, занимающиеся автоматизацией бизнеса
В рамках кампании злоумышленники использовали новый бэкдор BrockenDoor.
Эксперты «Лаборатории Касперского» обнаружили целевые атаки на российские компании, занимающиеся продажей и сопровождением ПО для автоматизации бизнеса. Для заражения злоумышленники использовали ранее неизвестный бэкдор (вредоносную программу, предназначенную для скрытого удалённого управления устройством) BrockenDoor, а также уже хорошо известные бэкдоры Remcos и DarkGate. В результате они могли получать доступ к устройствам жертв и похищать конфиденциальные данные.
Классическая приманка. В большинстве случаев атака начиналась с фишинговой рассылки. Злоумышленники отправляли письма якобы от имени существующих компаний, которые создают решения для автоматизации бизнеса. Получателями были организации, занимающиеся внедрением таких продуктов у своих клиентов, а также их настройкой, сопровождением и консультированием. В письме была просьба ознакомиться с неким техническим заданием, приложенном в архиве.
Два сценария заражения. В одном варианте атаки в архиве был только один исполняемый файл, который позволял осуществить атаку с использованием Right-to-Left Override (RLO). RLO — особый непечатный символ кодировки Unicode, который зеркально отражает расположение знаков. Обычно он используется при работе с языками, в которых текст идёт справа налево, например, с арабским языком или ивритом. Однако злоумышленники могут использовать его, чтобы подменять название и расширение файлов. В этом случае пользователь открывает файл, не подозревая, что он вредоносный. В другом варианте атаки в архиве была карточка предприятия, документ в формате PDF и LNK-файл (ярлык). Если пользователь нажимал на вредоносный ярлык, запускалась цепочка заражения.
Чем заражали. Злоумышленники использовали разные бэкдоры: троянец удалённого доступа Remcos, загрузчик DarkGate, а также ранее неизвестный зловред BrockenDoor. Это позволяло им получить доступ к заражённому устройству и похищать данные.
BrockenDoor связывался с сервером злоумышленников и отправлял им различную информацию, например имя пользователя и компьютера, версию операционной системы, список найденных на рабочем столе файлов. Если она казалась злоумышленникам интересной, они отправляли бэкдору команды для запуска дальнейших сценариев атаки. Новый зловред получил название Брокенский призрак. Это оптический феномен (Brocken Spectre), который можно наблюдать в горах при определённых условиях. Ассоциация с этим явлением возникла из-за идентификаторов Sun (Солнце), Gh0st (привидение) и Silhouette (силуэт), которые использовали злоумышленники.
«Изначально эта кампания привлекла наше внимание из-за нестандартного использования RLO. Злоумышленники распространяли вредоносные файлы в архивах, хотя популярные архиваторы не обрабатывают символ RLO и отображают корректное название файла и расширение. Мы выяснили, что злоумышленники использовали разные сценарии атак, а также семейства вредоносного ПО. Среди них были как распространённые бэкдоры Remcos или DarkGate, так и новый зловред BrockenDoor. Пока мы не можем отнести эти атаки к какой-то известной группе, но мы будем внимательно следить за развитием кампании», — комментирует Артём Ушков, исследователь угроз в «Лаборатории Касперского».
Теги:
похожие материалы
Новый вредонос для macOS совмещает кражу данных и атаки на криптокошельки
Специалисты по кибербезопасности выявили новую вредоносную кампанию, нацеленную на пользователей macOS, в рамках которой злоумышленники одновременно похищают пользовательские данные и атакуют приложения для работы с аппаратными криптокошельками.
40% российских компании автоматизируют бизнес-процессы с помощью ИИ
По данным исследования СберАналитики и Сбер Бизнес Софт в области автоматизации бизнес-процессов в российских компаниях итогам 2025 года, чаще всего в компаниях автоматизируют документооборот и обработку заявок (70%), бухгалтерию и финансовый учёт (55%), HR-процессы (34%), стратегическое планирование (34%) и поддержку клиентов (30%).
Каждую шестую уязвимость в приложениях знакомств назвали критической
Аналитики по кибербезопасности выявили серьёзную проблему с безопасностью популярных приложений для знакомств - примерно 17 % обнаруженных уязвимостей признаны критическими, что может привести к утечкам личных данных и компрометации аккаунтов пользователей.
Ограничения VPN в России выросли на фоне растущего спроса на обход блокировок
В России количество VPN-сервисов, заблокированных регуляторами, продолжает расти: к середине января 2026 года доступ к 439 сервисам обхода блокировок оказался ограничен, что на 70% больше, чем три месяца назад.
«Код Безопасности» и Компания «Актив» провели успешные тесты на совместимость ПАК «Соболь» c устройствами Рутокен
Компания «Актив», российский производитель и разработчик программно-аппаратных средств защиты информации, и российский разработчик средств защиты информации «Код Безопасности» подтвердили совместимость своих решений: USB-токенов и смарт-карт Рутокен ЭЦП 3.
Около 50 000 сайтов WordPress оказались под угрозой полного захвата из-за критической уязвимости плагина
Около 50 000 сайтов на базе WordPress остаются уязвимыми к полному захвату из-за критической ошибки в популярном плагине Advanced Custom Fields: Extended (ACF Extended).
На конкурсе Pwn2Own Automotive нашли десятки уязвимостей в системах Tesla
В Токио на первом дне конкурса по автомобильной безопасности Pwn2Own Automotive 2026 команда исследователей успешно продемонстрировала эксплуатацию 37 ранее неизвестных уязвимостей в различных автомобильных компонентах, включая систему развлекательной электроники Tesla.
Apple превратит Siri в полноценного ИИ чат-бота в новых версиях iOS и macOS
Apple готовит масштабное обновление голосового помощника Siri, которое должно превратить его в полноценного ИИ чат-бота, встроенного в экосистему iPhone, iPad и Mac.
В России беспилотные грузовики получат систему защиты от хакеров
В России внедряют дополнительную защиту для автономных грузовиков, участвующих в дорожных испытаниях.
Аналитики зафиксировали рост атак через подрядчиков в инфраструктурах российских компаний
Почти треть успешных взломов российских компаний в 2025 году произошла через подрядчиков, следует из аналитики центра мониторинга и реагирования на кибератаки RED Security SOC.