Преступная группа Chafer расширяет поле деятельности

Анна Козонина 02 Марта 2018 - 13:14

...

Иранская преступная группа Chafer расширила свою деятельность и теперь использует новые инструменты, включая эксплойт EternalBlue в Windows-реализации протокола SMB, для организации таргетированных атак на фирмы на Среднем Востоке в целях шпионажа и сбора данных.

Как правило, жертвами преступников становятся телекоммуникационные и транспортные компании, а также ряд их поставщиков и партнеров, занимающихся программным обеспечением, платежными ведомостями, авиаперевозками. По данным исследователей компании Symantec, с момента своего появления в 2015 году группа значительно расширила свою деятельность.

В арсенале Chafer появилось несколько новых инструментов, в том числе эксплойт EternalBlue, который сделал возможными вспышки WannaCry и NotPetya в прошлом году. Это позволяет злоумышленникам более легко проникать в целевые сети.

В общей сложности Chafer внедрили семь новых инструментов, с помощью которых атаковали девять новых целей в ближневосточном регионе, включая организации в Израиле, Иордании, Объединенных Арабских Эмиратах, Саудовской Аравии и Турции. Исследователи обнаружили, что Chafer напали на африканскую авиакомпанию и попытались взломать международную фирму по бронированию путешествий, однако эта атака не увенчалась успехом. Другая атакованная организация занималась поставками телекоммуникационных услуг на Ближнем Востоке. Исследователи говорят, что финальной целью этой атаки могло быть установление наблюдения за конечными пользователями компании.

Все эти случаи, по словам Symantec, указывают на “рост амбиций” атакующих. До этого подобные акции представляли собой атаки на веб-серверы с целью внедрения вредоносных программ. Однако на протяжении 2017 года Chafer использовали новые тактики, например, рассылку фишинговых сообщений на почту конкретным сотрудникам компаний. К ним прикреплялась таблица Excel, которая при открытии загружала вредоносный файл VBS. Он в свою очередь запускал скрипт PowerShell, что в конечном итоге приводило к установке дроппера на компьютер. Это давало злоумышленникам возможность красть содержимое буфера обмена, делать скриншоты, записывать последовательности нажатия клавиш, похищать файлы и учетные данные пользователя с компьютера. В большинстве случаев PowerShell также использовался для установки дополнительных инструментов, позволяющих перемещаться по сети. И многие их этих новинок — готовые продукты, находящиеся в открытом доступе. Все эти средства используются в сочетании с инструментами, использующими протокол SMB, такими как эксплойт EternalBlue, что помогает злоумышленникам расширить возможности шпионажа.

Сотрудники Symantec говорят, что хакерская группа Chafer остается очень активной, продолжает оттачивать новые тактики кибератак, а также становится более смелой в выборе целей. Хотя подавляющее большинство операций Chafer ограничено Ближним Востоком, группа следит за глобальными тенденциями, полагаясь на свободно доступное программное обеспечение.

Группа также атакует системы поставок организаций. Хотя здесь для достижения конечной цели требуется больше ресурсов, при успешности кампании злоумышленники получают гораздо больше выгоды.

Следующая главная новость »

Альтернативы Active Directory: как пройти миграцию без боли?
Регистрируйтесь на эфир!

Екатерина Быстрова 14 Мая 2026 - 21:12

Кибершпионаж Целевые атаки Таргетированные атаки Корпорации Государство

Ghostwriter снова атакует Украину: PDF-приманки ведут к Cobalt Strike

Киберпреступная группа Ghostwriter устроила новую серию атак на украинские госорганизации. По данным ESET, кампания идёт как минимум с марта 2026 года и нацелена прежде всего на структуры, связанные с государственным сектором, обороной и военной тематикой.

Ghostwriter — не новичок в этом жанре. Группировка активна как минимум с 2016 года и известна кибершпионажем, фишингом и информационными операциями против стран Восточной Европы, особенно Украины.

У неё целый набор псевдонимов: FrostyNeighbor, PUSHCHA, Storm-0257, TA445, UAC-0057, Umbral Bison, UNC1151 и White Lynx. Похоже на рэпера с кризисом идентичности.

В новой кампании злоумышленники рассылают целевые фишинговые письма с PDF-документами. Приманки маскируются под материалы украинской телекоммуникационной компании «Укртелеком». Внутри PDF находится ссылка, которая ведёт к RAR-архиву с JavaScript-пейлоадом.

Дальше начинается привычная матрёшка атакующих: скрипт показывает жертве отвлекающий документ, чтобы всё выглядело правдоподобно, а в фоне запускает JavaScript-версию PicassoLoader. Этот загрузчик затем может привести к установке Cobalt Strike Beacon — инструмента, который легитимно используется для пентестов, но давно стал любимой игрушкой атакующих.

При этом Ghostwriter не раздаёт вредоносную нагрузку всем подряд. В цепочке есть геофильтр: если IP-адрес жертвы не относится к Украине, сервер отдаёт безвредный PDF. Кроме того, PicassoLoader собирает отпечаток заражённой системы и отправляет его на инфраструктуру атакующих каждые 10 минут. После этого операторы вручную решают, стоит ли продолжать атаку и отправлять следующий этап.

Раньше Ghostwriter уже использовала PicassoLoader для доставки Cobalt Strike и njRAT, а также эксплуатировала уязвимость WinRAR CVE-2023-38831. В 2025 году группировка атаковала польские организации через уязвимость Roundcube CVE-2024-42009, похищая учётные данные почты. Полученные аккаунты могли использоваться для изучения переписки, выгрузки контактов и дальнейшей рассылки фишинга.

К концу 2025 года Ghostwriter добавила ещё один трюк — документы-приманки с динамической CAPTCHA. Идея проста: усложнить анализ и не палиться перед автоматическими системами проверки.

По оценке ESET, группировка продолжает обновлять инструменты, приманки и методы доставки. В Польше и Литве её цели шире: промышленность, производство, медицина, фармацевтика, логистика и госструктуры. В Украине же фокус заметно смещён на государственные, оборонные и военные организации.

Альтернативы Active Directory: как пройти миграцию без боли?
Регистрируйтесь на эфир!