Ghostwriter снова атакует Украину: PDF-приманки ведут к Cobalt Strike

Екатерина Быстрова 14 Мая 2026 - 21:12

Таргетированные атаки

...

Ghostwriter снова атакует Украину: PDF-приманки ведут к Cobalt Strike

Киберпреступная группа Ghostwriter устроила новую серию атак на украинские госорганизации. По данным ESET, кампания идёт как минимум с марта 2026 года и нацелена прежде всего на структуры, связанные с государственным сектором, обороной и военной тематикой.

Ghostwriter — не новичок в этом жанре. Группировка активна как минимум с 2016 года и известна кибершпионажем, фишингом и информационными операциями против стран Восточной Европы, особенно Украины.

У неё целый набор псевдонимов: FrostyNeighbor, PUSHCHA, Storm-0257, TA445, UAC-0057, Umbral Bison, UNC1151 и White Lynx. Похоже на рэпера с кризисом идентичности.

В новой кампании злоумышленники рассылают целевые фишинговые письма с PDF-документами. Приманки маскируются под материалы украинской телекоммуникационной компании «Укртелеком». Внутри PDF находится ссылка, которая ведёт к RAR-архиву с JavaScript-пейлоадом.

Дальше начинается привычная матрёшка атакующих: скрипт показывает жертве отвлекающий документ, чтобы всё выглядело правдоподобно, а в фоне запускает JavaScript-версию PicassoLoader. Этот загрузчик затем может привести к установке Cobalt Strike Beacon — инструмента, который легитимно используется для пентестов, но давно стал любимой игрушкой атакующих.

При этом Ghostwriter не раздаёт вредоносную нагрузку всем подряд. В цепочке есть геофильтр: если IP-адрес жертвы не относится к Украине, сервер отдаёт безвредный PDF. Кроме того, PicassoLoader собирает отпечаток заражённой системы и отправляет его на инфраструктуру атакующих каждые 10 минут. После этого операторы вручную решают, стоит ли продолжать атаку и отправлять следующий этап.

Раньше Ghostwriter уже использовала PicassoLoader для доставки Cobalt Strike и njRAT, а также эксплуатировала уязвимость WinRAR CVE-2023-38831. В 2025 году группировка атаковала польские организации через уязвимость Roundcube CVE-2024-42009, похищая учётные данные почты. Полученные аккаунты могли использоваться для изучения переписки, выгрузки контактов и дальнейшей рассылки фишинга.

К концу 2025 года Ghostwriter добавила ещё один трюк — документы-приманки с динамической CAPTCHA. Идея проста: усложнить анализ и не палиться перед автоматическими системами проверки.

По оценке ESET, группировка продолжает обновлять инструменты, приманки и методы доставки. В Польше и Литве её цели шире: промышленность, производство, медицина, фармацевтика, логистика и госструктуры. В Украине же фокус заметно смещён на государственные, оборонные и военные организации.

Следующая главная новость »

Альтернативы Active Directory: как пройти миграцию без боли?
Регистрируйтесь на эфир!

Екатерина Быстрова 14 Мая 2026 - 11:20

Корпорации VK Tech

Выручка VK Tech выросла на 58,9% и до 4,3 млрд рублей за квартал

VK Tech опубликовала неаудированные финансовые результаты за первый квартал 2026 года. Выручка компании выросла на 58,9% год к году и достигла 4,3 млрд рублей против 2,7 млрд рублей годом ранее. Скорректированная EBITDA увеличилась скромнее — на 8,8%, до 280 млн рублей.

Операционные расходы при этом выросли на 64,2%, до 4 млрд рублей. В компании объясняют это, в частности, снижением доли капитализируемых затрат по мере взросления продуктового портфеля.

Основную часть выручки VK Tech составляют регулярные поступления. Рекуррентная выручка выросла на 84,7% год к году, до 3,7 млрд рублей. Её доля в общей выручке достигла 87%, что на 12,1 процентного пункта выше показателя прошлого года.

Рост обеспечили как крупные заказчики, так и клиенты среднего и малого бизнеса. Выручка от крупных клиентов увеличилась на 40,7%, а от среднего и малого бизнеса — на 93,6%.

Самым быстрорастущим направлением стали сервисы продуктивности VK WorkSpace. Их выручка выросла в 2,3 раза и составила 1,9 млрд рублей. В компании связывают динамику с ростом продаж по облачной модели: выручка On-Cloud в этом направлении увеличилась почти втрое. Средняя ежемесячная аудитория активных пользователей платных учётных записей On-Cloud выросла на 23%.

Выручка направления «Облачная платформа» увеличилась на 19%, до 1,5 млрд рублей. В его состав входит VK Cloud — платформа с облачными сервисами для ИТ-инфраструктуры, разработки и работы с данными.

Дата-сервисы принесли 318 млн рублей, что на 58% больше, чем годом ранее. Рост обеспечили Tarantool и VK Data Platform: их выручка увеличилась в 3,3 раза.

Бизнес-приложения показали выручку 409 млн рублей. В это направление входят решения для налогового мониторинга, анализа бизнес-процессов и автоматизации HR-функций. При этом значительная часть продаж таких продуктов приходится на модель On-Premise, выручка по которой обычно формируется во втором полугодии.

С начала 2026 года VK Tech выделила ИИ-решения в отдельное направление. В первом квартале оно принесло 185 млн рублей. К этому блоку относится VK AI Space — платформа для разработки и запуска ИИ-агентов в защищённом контуре клиента.

В марте VK Tech также приобрела CedrusData, разработчика решений для работы с большими данными. В компании рассчитывают использовать эту сделку для развития продуктов в области хранения, обработки и анализа данных, а также ИИ.

Среди заметных запусков и обновлений первого квартала — механизм автоматического охлаждения данных в Tarantool Column Store, запуск Registry для хранения артефактов разработки, а также защита бэкапов в VK Cloud от удаления и шифрования вирусами-вымогателями.

Альтернативы Active Directory: как пройти миграцию без боли?
Регистрируйтесь на эфир!