В России идет волна фишинговых атак под видом писем от ФССП

Яков Шпунт 19 Марта 2025 - 18:03

Домашние пользователи

Малый и средний бизнес

...

Десятки компаний и частных лиц стали жертвами масштабной фишинговой кампании. Злоумышленники распространяют троян DarkWatchman, маскируя её под уведомления от московского Межрайонного отдела судебных приставов.

Как рассказали эксперты центра исследования киберугроз Solar 4RAYS, всплеск активности злоумышленников начался ещё в конце февраля. Согласно данным сети сенсоров и ханипотов, количество обращений к центру управления DarkWatchman выросло в пять раз. В результате эта фишинговая кампания стала самой масштабной с начала года.

Все вредоносные письма маскировались под официальные уведомления от Федеральной службы судебных приставов, однако отправлялись с поддельных адресов электронной почты. Внутри сообщений находился архив с именем «Исполнительный лист № 27186421-25 от <date>.zip».

По данным Kaspersky GReAT, такие письма получили не менее 100 российских организаций. Эксперт Kaspersky GReAT Георгий Кучерин отметил, что злоумышленники использовали имя того же судебного пристава, что и в аналогичных атаках 2022 года.

Федеральная служба судебных приставов подтвердила рост числа случаев использования её структуры для киберпреступлений.

«Злоумышленники рассылают поддельные уведомления и фишинговые письма. ФССП России напоминает, что судебные приставы не звонят через мессенджеры, не отправляют СМС-сообщения и не используют электронную почту для официальных уведомлений», — заявили в пресс-службе ведомства.

В ФССП также порекомендовали не загружать вложенные файлы и не переходить по ссылкам из подозрительных писем, а также проверять адреса отправителей: вся официальная корреспонденция ведомства поступает исключительно с его официального домена.

DarkWatchman впервые появился в 2021 году и с тех пор значительно эволюционировал. В 2023 году его использовали для фишинговых атак, маскируя под повестки, а в 2024 году он применялся в многоступенчатых атаках на российские компании. Как отметил эксперт центра Solar 4RAYS Иван Тимков, в 2025 году последние модификации сделали этот зловред практически незаметным для антивирусного ПО.

«Основная функция этого трояна — кейлоггер, который незаметно фиксирует каждое нажатие клавиш на клавиатуре жертвы, позволяя злоумышленникам получить доступ к паролям, банковским данным и другой чувствительной информации. Кроме того, DarkWatchman обладает функцией бэкдора, что позволяет киберпреступникам удалённо управлять заражёнными системами, загружать новые файлы и выполнять различные команды», — объясняет Иван Тимков.

По оценкам BI.ZONE Threat Intelligence, атака носит политически мотивированный характер и направлена на получение доступа к финансовым активам. Одним из активных операторов DarkWatchman является группа Watch Wolf.

Следующая главная новость »

Тонкий клиент 2026: как быстро развернуть цифровые рабочие места?
Регистрируйтесь на эфир!

Екатерина Быстрова 06 Марта 2026 - 16:04

Linux Руткиты Общее

Linux-руткиты поумнели: теперь они прячутся в eBPF и io_uring

Linux-руткиты долго оставались где-то в тени по сравнению с Windows-аналогами, но сейчас ситуация меняется. Причина понятная: Linux всё плотнее сидит в облаках, контейнерах, IoT и корпоративной инфраструктуре, а значит, и интерес злоумышленников к нему растёт. Исследователи из Elastic обратили внимание на новую тенденцию: современные Linux-руткиты всё чаще прячутся не в «экзотике», а во вполне легитимных механизмах ядра — eBPF и io_uring.

Если раньше подобные зловреды чаще опирались на более привычные техники вроде пользовательских инъекций или загружаемых модулей ядра, то теперь логика у атакующих другая.

Защитные меры в Linux-средах стали жёстче: Secure Boot, подпись модулей, режимы lockdown, стандартные средства аудита. В результате старые методы либо быстро выявляются, либо вообще не работают. И вот тут злоумышленники начали использовать то, что уже встроено в систему и изначально создавалось совсем не для атак.

Один из главных инструментов в этой новой волне — eBPF. Изначально он нужен для фильтрации пакетов, трассировки и других полезных низкоуровневых задач. Но проблема в том, что eBPF позволяет выполнять код внутри ядра, не подгружая классический модуль. Для атакующего это почти подарок: можно цепляться к системным вызовам или событиям Linux Security Module и делать это так, что обычные сканеры вроде rkhunter или chkrootkit просто ничего не заметят. Формально модуль ядра не загружался, и искать вроде бы нечего.

По сути, это даёт злоумышленнику очень тихий способ вмешиваться в работу системы: скрывать файлы, влиять на процессы, фильтровать сетевой трафик и при этом почти не оставлять привычных следов. Elastic приводит в пример такие проекты, как TripleCross и Boopkit, которые показывают, как eBPF можно использовать для перехвата системных вызовов и даже для скрытого канала управления.

Вторая интересная история — io_uring. Интерфейс io_uring появился в Linux как быстрый способ асинхронного ввода-вывода: он позволяет пачками отправлять операции в ядро через кольцевые буферы общей памяти. Для производительности это отлично. Для атакующего — тоже. Вместо того чтобы вызывать множество отдельных системных вызовов, процесс может передать целую очередь операций сразу. А значит, системам мониторинга, которые привыкли ловить активность по отдельным системным вызовам, становится заметно сложнее увидеть полную картину.

Именно поэтому io_uring всё чаще рассматривают как удобный механизм ухода от EDR и других средств наблюдения. Если упрощать, телеметрии становится меньше, шума тоже, а вредоносная активность растворяется в «нормальной» работе системы. В материале Elastic упоминается, например, экспериментальный руткит RingReaper, который показывает, как через io_uring можно скрытно подменять типовые операции вроде read, write и connect.

Тонкий клиент 2026: как быстро развернуть цифровые рабочие места?
Регистрируйтесь на эфир!