Новая APT-группа Telemancon нацелилась на российскую промышленность

Новая APT-группа Telemancon нацелилась на российскую промышленность

Новая APT-группа Telemancon нацелилась на российскую промышленность

Специалисты F6 обнаружили новую прогосударственную APT-группу, получившую имя Telemancon. Первые признаки её деятельности зафиксированы ещё в феврале 2023 года, однако детально изучить инфраструктуру и атаки группировки удалось лишь в феврале 2025 года.

Telemancon целенаправленно атакует российские промышленные предприятия, преимущественно компании из сферы машиностроения.

Для проведения атак группировка использует специально разработанный дроппер TMCDropper и бэкдор TMCShell. Название Telemancon составлено из трех уникальных признаков:

  1. «tele» обозначает использование сервиса telegra.ph для связи с командным сервером.
  2. «man» происходит от слова manufactory (производство), подчеркивая промышленную направленность атак.
  3. «con» указывает на сохранение полезной нагрузки в папке %userprofile%\Contacts.

Одна из атак была направлена на российского разработчика и производителя военной техники и транспортных средств.

Сотруднику компании было направлено письмо с архивом «запрос5161.7z», содержащим вредоносный файл «20250203_5_161.scr». Данный файл представляет собой дроппер, написанный на языке C++, получивший название TMCDropper.

 

Основные функции TMCDropper включают проверку на запуск в отладочной среде или песочнице, извлечение и закрепление на устройстве бэкдора TMCShell, а также отображение документа-приманки в формате PDF для маскировки реальных намерений атаки.

В блоге F6 можно найти полный разбор кампании Telemancon.

Мошенники пугают россиян блокировкой СБП и требуют коды из СМС

Телефонные мошенники снова нашли тему, которая звучит достаточно сложно, чтобы человек растерялся. Теперь россиян запугивают якобы подозрительной активностью в цепочке переводов и грозят блокировкой доступа к Системе быстрых платежей.

О новой схеме РИА Новости рассказали в пресс-службе платформы «Мошеловка» Народного фронта.

Потенциальной жертве звонят или пишут лжесотрудники банка, контролирующего органа или другой важной структуры. Дальше начинается спектакль про подозрительные переводы, технический сбой или проблемы с идентификацией. Жертве сообщают, что из-за этого доступ к СБП могут заблокировать.

Чтобы срочно всё исправить, мошенники предлагают пройти верификацию через специальный сервис. На деле под этим предлогом они пытаются выманить код из СМС, заставить установить вредоносное приложение под видом официального инструмента или убедить перевести деньги на безопасный счёт.

В «Мошеловке» отмечают, что схема особенно актуальна в июле: злоумышленники используют тему интеграции налоговых идентификаторов в банковские системы и рассчитывают на то, что большинство клиентов не знает технических деталей работы СБП.

Главное правило здесь простое: никаких дополнительных подтверждений для работы Системы быстрых платежей пользователю проходить не нужно. Обмен данными между ведомствами и банками происходит автоматически, без звонков с просьбами назвать код или установить приложение.

Если собеседник говорит о блокировке переводов, просит код из СМС, требует поставить программу или перевести деньги на резервный счёт, разговор лучше сразу закончить. А потом самостоятельно позвонить в банк по номеру с официального сайта или из приложения.

RSS: Новости на портале Anti-Malware.ru