С начала 2025 года эксперты «Лаборатории Касперского» фиксируют новую волну целевых кибератак APT-группы Tomiris, ориентированных на государственные учреждения в России и странах СНГ. Основной фокус злоумышленников — министерства иностранных дел и дипломатические представительства, а общее количество затронутых пользователей, по оценкам исследователей, превысило 1000 человек за год.
APT-группа Tomiris: эволюция кибершпионажа с 2021 года
Активность Tomiris впервые описывалась еще в 2021 году как кампании кибершпионажа против госструктур в СНГ. Тогда ключевой задачей группы была кража внутренних документов и служебной переписки. Новая кампания 2025 года демонстрирует заметное усложнение тактик: злоумышленники усилили методы скрытности, диверсифицировали инструменты и переключились на более гибкую инфраструктуру управления.
Сценарий атаки: фишинговые письма и маскировка под документы
Стартовым вектором атак остаются фишинговые письма с запароленными архивами. Внутри архива содержится исполняемый файл, замаскированный под документ. Используются два основных приема: двойное расширение вида .doc .exe, либо чрезмерно длинное имя файла, скрывающее реальное расширение при просмотре содержимого архива. Пользователь, ожидающий увидеть документ, запускает исполняемый файл и тем самым инициирует компрометацию системы.
Многоязычные фишинговые кампании против России и Центральной Азии
По данным экспертов, более половины целевых фишинговых сообщений и файлов-приманок в кампании 2025 года содержали текст на русском языке. Это указывает на приоритетное нацеливание на русскоязычные государственные учреждения и организации. Остальная часть рассылок была локализована под Туркменистан, Кыргызстан, Таджикистан и Узбекистан: письма составлялись на соответствующих национальных языках и адаптировались под местный контекст, что повышает доверие получателей и вероятность успешного открытия вложений.
Инструментарий Tomiris: реверс-шеллы и C2 через Telegram и Discord
После запуска вредоносного файла на системе жертвы в большинстве случаев развертывается реверс-шелл — небольшой агент, подключающийся к инфраструктуре операторов и ожидающий дальнейших команд. Исследователи зафиксировали реализации на C/C++, C#, Go, Rust и Python, что усложняет детектирование по сигнатурам и позволяет гибко подбирать инструменты под разные среды.
Часть таких агентов использует Telegram и Discord в качестве каналов управления (C2). Вредоносный трафик маскируется под обычную активность этих популярных сервисов обмена сообщениями, что затрудняет его выделение на уровне сетевого мониторинга. Подобная тактика становится все более распространенной среди APT-групп, поскольку соединения с мессенджерами обычно считаются легитимными и редко блокируются полностью.
Фреймворки AdaptixC2 и Havoc и боковое перемещение
На следующих этапах атаки Tomiris разворачивает дополнительный инструментарий для углубленной эксплуатации инфраструктуры жертвы. Исследователи отмечают использование фреймворков AdaptixC2 и Havoc, которые предоставляют злоумышленникам удобный интерфейс для удаленного управления, закрепления в системе и развертывания новых модулей. Для бокового перемещения по сети применяются обратные SOCKS-прокси, основанные на открытых проектах с GitHub: через них организуется скрытый туннель к внутренним ресурсам организации.
Цели атак: кража документов и конфиденциальных файлов
Основная задача установленных имплантов — поиск и подготовка к передаче конфиденциальных данных. На зараженных устройствах сканируются файлы с расширениями .jpg, .jpeg, .png, .txt, .rtf, .pdf, .xlsx, .docx. Это указывает не только на интерес к текстовым документам, но и к графическим материалам, которые могут содержать сканы официальных бумаг или фотографию чувствительных данных.
Один из инструментов группы, обозначаемый как Tomiris Rust Downloader, не выгружает сами файлы, а отправляет в Discord лишь список путей к найденным документам. Это снижает объем подозрительного трафика и позволяет операторам ручным образом выбирать приоритетные цели. Другой модуль — Tomiris Python FileGrabber — собирает обнаруженные файлы в ZIP-архивы и передает их на сервер управления через HTTP POST-запросы, имитируя обычное веб-взаимодействие.
Оценка экспертов и ключевые тенденции
По оценке специалистов «Лаборатории Касперского», текущая кампания демонстрирует эволюцию тактик Tomiris в сторону долгосрочного скрытого присутствия в сетях жертв. На это указывает использование имплантов на разных языках программирования, опора на публичные сервисы вроде Telegram и Discord в качестве C2, а также комбинирование собственных и открытых инструментов. Такой подход позволяет смешивать вредоносный трафик с легитимной активностью и усложняет работу средств мониторинга.
Как защититься от атак Tomiris: практические рекомендации
Организациям государственного сектора и крупным компаниям в регионе России и СНГ целесообразно усилить защиту по нескольким направлениям. Важно ограничить исполнение файлов из вложений архивов, внедрить обучение сотрудников распознаванию таргетированного фишинга и запретить скрытие расширений файлов в проводнике. Дополнительно стоит настроить контроль использования мессенджеров Telegram и Discord на рабочих станциях и серверах, а также мониторить аномальные сетевые соединения с их серверами.
Рекомендуется использовать современные решения класса EDR/XDR, применять сегментацию сети и принцип минимально необходимых привилегий, а также регулярно проводить аудит публично доступных проектов и инструментов, которые могут быть переиспользованы злоумышленниками. Актуальное обновление систем безопасности и операционных систем, внедрение многофакторной аутентификации и централизованный лог-менеджмент значительно повышают шансы вовремя обнаружить активность APT-групп, подобных Tomiris, и минимизировать ущерб от их операций.
