Эксперты обнаружили новые методы атак хакерской группы PhaseShifters с использованием стеганографии

Фото автора

CyberSecureFox Editorial Team

Компания Positive Technologies выявила новую серию кибератак, проводимых хакерской группировкой PhaseShifters (также известной как Sticky Werewolf). Злоумышленники применяют продвинутые методы стеганографии для внедрения вредоносного кода в изображения и текстовые файлы, что позволяет им успешно обходить традиционные системы защиты.

Целевая направленность и методы атак

PhaseShifters специализируется на кибершпионаже, концентрируя свои усилия на организациях Восточной Европы. Основными целями становятся государственные учреждения, промышленные предприятия и исследовательские центры. Злоумышленники используют целенаправленный фишинг, рассылая электронные письма якобы от официальных лиц с просьбой ознакомиться и подписать документы.

Технические особенности вредоносной кампании

В ходе атак группировка распространяет различные типы вредоносного ПО, включая Rhadamanthys, DarkTrack RAT и Meta Stealer. Процесс заражения начинается с отправки защищенных паролем архивов, содержащих вредоносные файлы. При открытии этих документов запускаются скрипты, загружающие изображения со скрытой с помощью стеганографии вредоносной нагрузкой.

Связи с другими хакерскими группировками

Исследование показало интересные пересечения в методах работы PhaseShifters с другими известными группировками. В частности, техника стеганографии могла быть заимствована у группы TA558. Более того, аналогичные методы использует группировка UAC-0050, действующая в том же географическом регионе с 2020 года.

Общие технические индикаторы

Эксперты обнаружили, что PhaseShifters, TA558 и Blind Eagle используют идентичные обфускаторы и криптеры, распространяемые в даркнете. Об этом свидетельствуют одинаковая структура обфускации, схожие переменные в powershell-скриптах и использование аналогичных методов хранения вредоносной нагрузки.

По оценке специалистов Positive Technologies, существует высокая вероятность того, что PhaseShifters и UAC-0050 являются одной и той же группировкой, учитывая идентичность техник атак и схожие временные паттерны их проведения. Однако для окончательного подтверждения этой гипотезы требуется дальнейшее наблюдение и анализ их деятельности.

Фото автора

CyberSecureFox Editorial Team

Редакция CyberSecureFox освещает новости кибербезопасности, уязвимости, malware-кампании, ransomware-активность, AI security, cloud security и security advisories вендоров. Материалы готовятся на основе official advisories, данных CVE/NVD, уведомлений CISA, публикаций вендоров и открытых отчётов исследователей. Статьи проверяются перед публикацией и обновляются при появлении новых данных.

Оставьте комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.

CyberSecureFox

© 2026 INFO

О сайте

О нас

Авторы

Контакты

Редакция

Редакционные стандарты

Исправления

Правовая информация

Политика конфиденциальности

Условия использования