Киберпреступники снова взялись за спуфинг

Олеся Афанасьева 28 Апреля 2023 - 12:00

...

Киберпреступники снова взялись за спуфинг

Спуфинг стал самой популярной техникой атак с отправкой вредоносных писем, выяснили эксперты F.A.С.С.T. Речь о данных за первый квартал 2023 года. Чаще всего “на борту” опасных рассылок находились стилеры и программы-шпионы.

Специалисты компании F.A.С.С.T. (теперь так называется российский бизнес компании Group-IB) проанализировали вредоносные рассылки, обнаруженные системой Managed XDR и выявили, что спуфинг использовался злоумышленниками в электронных рассылках в 67,5% атак.

Эта популярная у киберпреступников техника эксплуатирует проблему почтового протокола SMTP, которая позволяет с помощью множества доступных инструментов — подходящего почтового клиента, скрипта или утилиты — подделать адрес отправителя.

В итоге пользователь считает, что письмо отправлено с легитимного адреса. Таким образом преступники быстро входят в доверие к получателям сообщений и убеждают открыть вложение или перейти по ссылке, тем самым загрузив на свое устройство вредоносную программу.

Спуфинг использовался при точечных атаках на российские благотворительные фонды еще в 2020-2021 годах. Тогда сотрудники получили поддельные письма от руководства с просьбой перевести средства по указанным реквизитам.

За прошедший год спуфинг был замечен в рассылках по российским компаниям шпионов и стилеров с зараженных компьютеров и смартфонов пользователей. В некоторых случаях злоумышленники подставляли в поле “отправитель” почтовые адреса компаний, в которых работали получатели.

Второй по популярности техникой при рассылке вредоносных писем (18,7% случаев) в начале 2023 года стала регистрация почтовых доменов, похожих на адреса электронных ящиков реальных компаний (пример: hotemail[.]top вместо легитимного hotmail[.]com).

Создание собственных доменных имен позволяет письмам злоумышленников обходить базовую проверку протоколов электронной почты.

Взломанные, то есть скомпрометированные почтовые учетные записи или доменные имена, были замечены в 8% атак по электронной почте. Этот способ, как правило, наиболее опасен для получателей писем, так как отправитель кажется абсолютно легитимным как для получателя, так и для большинства стандартных средств фильтрации электронной почты.

Меньше всего злоумышленники используют рассылку писем с помощью бесплатных почтовых сервисов — их замечено в 5,8% обнаруженных писем с вредоносным содержанием. Чаще всего берут сервисы: Gmail — 41,1% случаев, HotMail (28,8%) и Yahoo (9,9%).

“Электронная почта остается одним из основных векторов атак на компании, особенно когда речь идет о распространении программ-шпионов или стилеров”, — комментирует цифры руководитель Security operations center (SOC) компании F.A.С.С.T. Ярослав Каргалев. По его словам, злоумышленники стали тщательно готовить рассылки и внимательнее относиться к оформлению писем. При этом относительно простой спуфинг остается техникой номер один для маскировки вредоносных рассылок.

Следующая главная новость »

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »

Екатерина Быстрова 11 Февраля 2026 - 14:50

Эксплойты Шпионские программы Программы слежения Уязвимости программ Кибершпионаж Целевые атаки Таргетированные атаки Корпорации Государство BI.ZONE

Кибершпионы в России переключились на НИОКР и инженерные предприятия

Доля кибератак на российские организации, совершаемых с целью шпионажа, заметно выросла. По данным портала киберразведки BI.ZONE Threat Intelligence, в 2025 году на шпионские операции пришлось уже 37% атак (против 21% годом ранее). Иными словами, если раньше шпионской была примерно каждая пятая атака, то теперь — уже почти каждая третья.

При этом госсектор остаётся для таких группировок целью номер один. На органы государственного управления приходится 27% атак шпионских кластеров.

Но интерес злоумышленников всё чаще смещается и в сторону науки и технологий. Доля атак на организации, связанные с НИОКР, за год выросла вдвое — с 7% до 14%.

Как отмечает руководитель BI.ZONE Threat Intelligence Олег Скулкин, рост доли шпионских атак почти в полтора раза стал одним из ключевых трендов 2025 года. По его словам, специалисты наблюдают более 100 кластеров, нацеленных на Россию и страны СНГ, и около 45% из них — это именно шпионские группировки.

Интересно, что такие кластеры сильно различаются по уровню подготовки. В одних случаях злоумышленники применяют технически сложные инструменты, но выдают себя плохо составленными фишинговыми письмами. В других — атаки относительно простые, зато адаптированы под локальный контекст и выглядят максимально правдоподобно.

Так, во второй половине декабря 2025 года группировка Rare Werewolf атаковала научно-исследовательское и производственное предприятие оборонно-промышленного комплекса. Жертве отправили письмо якобы с коммерческим предложением на поставку и монтаж сетевого оборудования — от имени сотрудника научно-производственного центра беспилотных систем.

Во вложении не было классических зловредов. Вместо этого использовались легитимные инструменты: AnyDesk для удалённого доступа, 4t Tray Minimizer для скрытия окон и утилита Blat — для незаметной отправки похищенных данных. Такой подход позволяет дольше оставаться незамеченными и обходить системы защиты.

Впрочем, легитимными программами дело не ограничивается. Почти все шпионские кластеры активно применяют зловред собственной разработки. Новые самописные инструменты помогают обходить средства защиты и закрепляться в инфраструктуре на длительное время.

Кроме того, такие группировки, как правило, не стеснены в ресурсах. Они могут позволить себе покупку дорогостоящих эксплойтов, включая 0-day. Ранее специалисты BI.ZONE фиксировали атаки кластера Paper Werewolf, который, предположительно, приобрёл на теневом форуме эксплойт к уязвимости в WinRAR за 80 тысяч долларов.

Судя по динамике, кибершпионаж становится всё более системным и профессиональным — и явно не собирается сдавать позиции.

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »