«Лаборатория Касперского» проанализировала кампанию кибершпионажа APT-группы Tomiris, активную с начала 2025 года. Атаки, которые продолжаются до сих пор, нацелены на госсектор, преимущественно дипломатические службы, в России и СНГ. C действиями группы столкнулись более тысячи пользователей.
Чтобы получить первоначальный доступ, злоумышленники рассылают целевые фишинговые письма с вредоносными архивами. Внутри содержится исполняемый файл, замаскированный под различные официальные документы. В одном из обнаруженных писем атакующие просят дать отзыв на проекты, якобы направленные на развитие российских регионов. Если запустить файл из архива, это приведёт к заражению компьютера жертвы.
Больше половины таргетированных фишинговых писем и файлов-приманок в кампании 2025 года содержат текст на русском языке. Из этого следует, что её жертвами в первую очередь должны были стать русскоязычные пользователи и организации. Остальные письма были адаптированы для Туркменистана, Кыргызстана, Таджикистана и Узбекистана и составлены на соответствующих языках.
Для проникновения в систему группа использует разные виды вредоносных имплантов. В большинстве случаев заражение начинается с развёртывания реверс-шеллов, ожидающих дальнейших команд. Они написаны на разных языках программирования. На следующих этапах атаки импланты устанавливают дополнительные инструменты, включая фреймворки AdaptixC2 и Havoc, для дальнейшей эксплуатации и закрепления в системе. В некоторых случаях в качестве командного сервера используются Telegram и Discord. Вредоносное ПО ищет на заражённых устройствах конфиденциальные данные: злоумышленников, в частности, интересуют файлы с расширениями .jpg, .jpeg, .png, .txt, .rtf, .pdf, .xlsx и .docx.
«Тактики Tomiris явно эволюционировали: они направлены на то, чтобы максимально скрыть вредоносную активность, а также долгосрочно закрепиться в системе. Этому, в том числе, способствует использование вредоносных имплантов на разных языках. Группа стала чаще полагаться на инструменты, которые задействуют в качестве командных серверов общедоступные сервисы, такие как Telegram и Discord. Вероятнее всего, так злоумышленники пытаются скрыть вредоносный трафик среди легитимной активности этих сервисов», — комментирует Олег Купреев, эксперт по кибербезопасности в «Лаборатории Касперского».
22 апреля 2026 года в Москве пройдет четвертая межотраслевая конференция для руководителей ИБ-служб.
Компания Google выпустила экстренное обновление браузера Google Chrome, устраняющее две уязвимости нулевого дня, которые уже активно эксплуатировались злоумышленниками.
Исследователи безопасности обнаружили новую технику атаки на ИИ-агентов, позволяющую похищать данные с помощью так называемой косвенной prompt-инъекции.
Эксперты по кибербезопасности из IBM сообщили о появлении новой группы вымогателей Slopoly, которая активно применяет инструменты искусственного интеллекта для подготовки и проведения атак.
В даркнете появилась база данных и исходный код, предположительно относящиеся к инфраструктуре шведской платформы электронного правительства.
В России появились признаки начала блокировки мессенджера Telegram: пользователи по всей стране сообщают о масштабных сбоях в работе сервиса, а эксперты связывают происходящее с возможным введением ограничительных мер со стороны регуляторов.
Компания Telus Digital подтвердила инцидент безопасности после того, как хакер заявил о масштабной краже данных.
Социальная сеть Instagram* начала внедрение сквозного шифрования в личных сообщениях, новая функция должна повысить уровень конфиденциальности переписки и защитить сообщения пользователей от доступа третьих лиц.
Специалисты по кибербезопасности заявили о взломе внутренней ИИ-платформы консалтинговой компании McKinsey & Company.
UserGate, российский разработчик решений в области информационной безопасности, запустил проект «Совместная техническая поддержка» — новую модель сервисного сопровождения клиентов совместно с сертифицированными партнерами.
