Российскую оборонку атакуют шпионы Dark River, вооруженные мощным бэкдором

Российскую оборонку атакуют шпионы Dark River, вооруженные мощным бэкдором

Российскую оборонку атакуют шпионы Dark River, вооруженные мощным бэкдором

Новая кибергруппа, которую в Positive Technologies назвали Dark River, тщательно выбирает своих жертв и действует точечно. Используемый ею модульный бэкдор засветился в нескольких атаках на предприятия российского оборонного комплекса.

Анализ вредоноса MataDoor показал, что разработчики не жалели ресурсов на его развитие. Хорошо проработанные архитектура и транспортная система позволяют бэкдору незаметно и долго работать в скомпрометированной инфраструктуре, облегчая шпионаж и кражу конфиденциальной информации.

Зловред умело маскируется: имена исполняемых файлов вызывают ассоциации с легитимным софтом, установленным на зараженных устройствах, некоторые семплы имеют действительную цифровую подпись. Вирусописатели также использовали различные утилиты-упаковщики, чтобы осложнить обнаружение.

«Это хорошо продуманный вредонос с глубокой индивидуальной разработкой в плане транспорта, скрытности и архитектуры, — комментирует Максим Андреев, старший специалист отдела PT по исследованию киберугроз. — Группировка не стала использовать коробочные решения, многие протоколы намеренно реализованы разработчиком самостоятельно. Большая и сложная транспортная система позволяет гибко настраивать коммуникацию с командой оператора, с сервером, чтобы оставаться скрытым и незамеченным. Это вредоносное программное обеспечение может действовать даже в логически изолированных сетях, вытаскивать и передавать данные откуда угодно».

Исследователи полагают, что внедрение MataDoor происходит через эксплойт, а приманкой служат поддельные письма с вредоносным вложением в формате DOCX. Для отработки эксплойта нужно не только открыть документ, но и включить режим редактирования — например, чтобы прояснить нечитаемый текст.

Похожие письма, нацеленные на оборонку, рассылались в России два года назад. На тот момент злоумышленники использовали эксплойт CVE-2021-40444.

Для защиты от сложных угроз вроде MataDoor эксперты рекомендуют принимать проактивные меры, используя инструменты поведенческого анализа, такие как PT Sandbox и PT NAD. Избежать заражения через почту поможет соблюдение базовых правил кибергигиены:

  • не терять бдительности, получая письма (а также сообщения в мессенджерах и социальных сетях);
  • не переходить по сомнительным ссылкам;
  • не открывать подозрительные вложения.

Для проведения рассылок злоумышленники могут использовать взломанные почтовые ящики. При получении неожиданного письма следует поискать такие свидетельства подлога, как нетипичные для переписок в компании вложения, некорректная подпись, несоответствие поднятого вопроса и уровня компетенций получателя.

Фейковые заказчики атакуют производство в России целевым фишингом

«Лаборатория Касперского» обнаружила многоступенчатую фишинговую кампанию против производственных предприятий. Под удар попали организации в разных странах, включая Россию, Чехию, Малайзию и Египет. Кампания стартовала в апреле 2026 года и, по данным компании, всё ещё продолжается.

Схема построена не на грубом «срочно оплатите счёт», а на более аккуратной легенде.

Злоумышленники пишут на английском языке якобы от лица потенциального заказчика: интересуются продукцией, спрашивают стоимость, наличие или другие детали.

Если сотрудник отвечает, атака переходит на следующий уровень. Ему присылают ссылку, где якобы лежит файл с техническими требованиями к продукту. Иногда ссылку отправляют сразу, иногда — после небольшой переписки и уточняющих вопросов, чтобы всё выглядело убедительнее.

После перехода пользователь попадает на фишинговую страницу, которая маскируется под популярный облачный сервис для работы с PDF-документами. Дальше классика: жертве предлагают нажать «скачать», а затем появляется форма аутентификации.

Нужно ввести корпоративную почту и пароль якобы для защиты файла от несанкционированного доступа. На самом деле никакой защиты там нет, только аккуратный сбор учётных данных.

В «Лаборатории Касперского» отмечают, что целевой фишинг становится сложнее. Атакующие всё чаще используют многоэтапные сценарии, заранее изучают компании и подстраивают легенды под особенности отрасли. В случае с производством ставка делается на привычную рабочую коммуникацию: запросы от заказчиков, спецификации, файлы с требованиями и деловую переписку.

Эксперты предупреждают: такие атаки опасны именно своей нормальностью. Письмо выглядит как обычный рабочий запрос, ссылка — как файл от клиента, форма входа — как стандартная проверка. Поэтому компаниям стоит не только ставить защитные решения, но и регулярно объяснять сотрудникам простое правило: если «заказчик» просит ввести корпоративный пароль на странной странице, это уже не заказчик, а охота за доступом.

RSS: Новости на портале Anti-Malware.ru