Группировка Scaly Wolf вернулась к атаке на машиностроение в России

Екатерина Быстрова 13 Августа 2025 - 13:38

Таргетированные атаки

...

Группировка Scaly Wolf вернулась к атаке на машиностроение в России

В «Доктор Веб» рассказали о новой целевой атаке на российскую компанию из машиностроительного сектора, которая уже попадала в поле зрения киберпреступников два года назад. Судя по всему, злоумышленники не оставили попыток заполучить корпоративные секреты предприятия и вернулись с обновленным набором инструментов.

В конце июня 2025 года специалисты компании начали расследование после того, как на одном из компьютеров предприятия антивирус стал регулярно детектировать угрозу.

Выяснилось, что это не ложные тревоги, а признаки активной атаки. Первый взлом произошёл ещё 12 мая — на компьютере, где не был установлен Dr.Web. Оттуда вредонос распространился на другие машины.

Киберпреступники использовали фишинговые письма с PDF-приманками и архивами, в которых исполняемые файлы были замаскированы под документы.

Ключевым элементом атаки стал загрузчик Trojan.Updatar.1, который подтягивал другие модули бэкдора. В ходе расследования специалисты обнаружили, что злоумышленники применяли обфускацию на основе списка популярных паролей RockYou.txt, чтобы усложнить анализ кода.

Дальше в ход пошли утилиты Meterpreter из Metasploit, инструменты для кражи учётных данных и туннелирования трафика, а также стандартные программы для удалённого администрирования, которые часто не блокируются антивирусом по умолчанию.

На некоторых компьютерах Dr.Web успешно блокировал попытки загрузки вредоносных компонентов, но атакующие продолжали пробовать новые варианты — вплоть до применения RemCom для отключения встроенной защиты Windows и поиска признаков наличия Dr.Web.

По данным «Доктор Веб», за атакой стоит группировка Scaly Wolf, уже знакомая по прошлой кампании против этого же предприятия. На этот раз она отказалась от троянов по модели MaaS, но активно использовала собственный модульный бэкдор, утилиты с открытым исходным кодом и поддельные системные уведомления для введения пользователей в заблуждение.

Эксперты напоминают: даже установленный антивирус — не панацея. Настройки защиты нужно адаптировать под корпоративную среду, регулярно обновлять системы и приложения, а также уделять внимание выявлению и блокировке нестандартных инструментов администрирования, которые могут использоваться в атаках.

Следующая главная новость »

Secrets Management 2026: где на самом деле сливаются ключи? Регистрируйтесь на эфир AM Live!

Екатерина Быстрова 13 Февраля 2026 - 14:14

Бэкдоры Трояны Кибершпионаж Целевые атаки Таргетированные атаки Корпорации Государство Лаборатория Касперского

Head Mare атакует российские госструктуры новым бэкдором PhantomHeart

Хактивистская группировка Head Mare снова активизировалась. Аналитики Cyber Threat Intelligence «Лаборатории Касперского» в конце 2025 года зафиксировали новую волну целевых атак на российские госструктуры, строительные и промышленные компании. И судя по всему, инструментарий группы стал более продуманным и автоматизированным.

Главная находка — новый бэкдор PhantomHeart. Изначально он распространялся как DLL-библиотека, но позже злоумышленники переработали его в PowerShell-скрипт.

Это вписывается в стратегию Living-off-the-Land (LOTL), когда атакующие используют штатные инструменты Windows, чтобы не привлекать лишнего внимания. Чем меньше стороннего «зловреда» на диске, тем сложнее его обнаружить.

Вектор первоначального доступа остаётся прежним. Head Mare продолжает эксплуатировать уязвимость BDU:2025-10114 в TrueConf Server. В отдельных случаях используются и фишинговые рассылки. То есть проверенные способы проникновения сочетаются с обновлённой «начинкой» внутри сети.

PhantomHeart после запуска разворачивает SSH-туннель по команде с сервера управления. Это даёт операторам устойчивый удалённый доступ к системе. Параллельно бэкдор собирает базовую информацию: имя компьютера, домен, внешний IP и уникальный идентификатор.

Закрепление в системе тоже продумано: в одной из атак вредонос запускался через планировщик заданий под видом легитимного скрипта обновления в директории LiteManager — популярного инструмента удалённого администрирования. Фактически активность маскировалась под обычную работу ПО.

Кроме того, эксперты отмечают рост автоматизации. Head Mare добавила новые скрипты и утилиты для постэксплуатации. Они помогают автоматически закрепляться в системе, управлять привилегиями и организовывать сетевой доступ. Такой подход снижает «ручную» нагрузку на операторов и позволяет проводить больше атак с большей скоростью и повторяемостью.

Продукты «Лаборатории Касперского» детектируют используемые инструменты под различными вердиктами, включая HEUR:Trojan-Ransom.Win32., Backdoor.PowerShell.Agent.gen и Trojan.PowerShell.Agent..

Подробный технический разбор новой активности Head Mare опубликован на Securelist. Аналитики также отмечают, что тактики и процедуры этой группировки вписываются в более широкую картину угроз, описанную в отчёте «Записки цифрового ревизора: три кластера угроз в киберпространстве».

Secrets Management 2026: где на самом деле сливаются ключи? Регистрируйтесь на эфир AM Live!