Исследователи информационной безопасности зафиксировали эволюцию киберугроз, направленных против российского корпоративного сектора. Злоумышленники разработали изощренную схему доставки вредоносного ПО, используя популярные онлайн-платформы как промежуточное звено для размещения зашифрованного кода Cobalt Strike Beacon.
Географический охват и временные рамки атак
Первые признаки данной кибератаки были обнаружены во второй половине 2024 года. Изначально под удар попали организации в России, Китае, Японии, Малайзии и Перу. Однако к началу 2025 года наблюдалось существенное снижение активности злоумышленников с периодическими всплесками активности.
Кардинальные изменения произошли в июле 2025 года, когда специалисты обнаружили новые образцы вредоносного ПО, целенаправленно нацеленные исключительно на российские предприятия. Основными жертвами стали представители крупного и среднего бизнеса.
Механизм проведения атаки
Первоначальное проникновение через фишинг
Атака инициируется рассылкой тщательно подготовленных фишинговых сообщений, имитирующих корреспонденцию от крупных государственных корпораций. Особое внимание уделяется компаниям нефтегазового сектора, что повышает доверие потенциальных жертв к полученным письмам.
Злоумышленники создают убедительную легенду о заинтересованности в продуктах или услугах целевой организации. К письму прикрепляется вредоносный архив, содержащий файлы, замаскированные под PDF-документы с техническими требованиями и спецификациями.
Техника подмены DLL и эксплуатация легитимных утилит
Для запуска вредоносного кода применяется метод DLL hijacking (подмена библиотек динамической компоновки) в сочетании с эксплуатацией легитимной утилиты BsSndRpt.exe. Данная программа является частью решения BugSplat и предназначена для автоматической отправки отчетов о сбоях в работе приложений.
Манипулируя путями загрузки библиотек, атакующие заставляют легитимную утилиту загружать и выполнять вредоносный код вместо штатных компонентов системы.
Инновационное использование публичных платформ
Наиболее примечательной особенностью данной кампании является креативное использование легитимных онлайн-сервисов для хранения зашифрованного вредоносного кода. Злоумышленники размещают полезную нагрузку в репозиториях GitHub, а ссылки на неё скрывают в профилях на различных платформах:
• GitHub — основное хранилище вредоносного кода
• Microsoft Learn Challenge — образовательная платформа Microsoft
• Quora — международный сервис вопросов и ответов
• Российские социальные сети — локальные платформы
Все задействованные учетные записи были созданы специально для проведения данной атаки, что исключает компрометацию аккаунтов реальных пользователей.
Последствия успешной атаки
После выполнения всех этапов атаки на устройстве жертвы активируется Cobalt Strike Beacon — мощный инструмент для удаленного управления скомпрометированными системами. Это предоставляет злоумышленникам полный контроль над инфраструктурой организации и возможность проведения дальнейших операций.
Рекомендации по защите
Современные киберугрозы демонстрируют высокий уровень адаптивности и изобретательности. Эксперты подчеркивают необходимость комплексного подхода к обеспечению информационной безопасности, включающего постоянный мониторинг актуальных угроз и регулярное обновление систем защиты.
Организациям следует уделить особое внимание обучению сотрудников распознаванию фишинговых атак, внедрению многоуровневых систем защиты и установлению строгих политик безопасности при работе с внешними файлами и ссылками. Только комплексный подход позволит эффективно противостоять постоянно эволюционирующим киберугрозам.
