Российские предприятия атакованы под видом ВОЕНМЕХа

Российские предприятия атакованы под видом ВОЕНМЕХа — F6 винит FakeTicketer

Екатерина Быстрова 03 Апреля 2025 - 13:29

Таргетированные атаки

...

Российские предприятия атакованы под видом ВОЕНМЕХа — F6 винит FakeTicketer

Специалисты из департамента Threat Intelligence компании F6 обнаружили ряд признаков, указывающих на связь между кибершпионской кампанией HollowQuill и известной киберпреступной группировкой FakeTicketer.

По данным F6, атаки были направлены на российские промышленные предприятия. Хакеры использовали документ, который выглядел как официальное письмо от имени Балтийского государственного технического университета «ВОЕНМЕХ».

Однако еще в конце 2024 года активность, связанную с этой кампанией, заметили эксперты из Positive Technologies. Теперь же специалисты F6 провели дополнительное расследование и обнаружили пересечения с операциями группы FakeTicketer.

та группа, предположительно занимающаяся кибершпионажем, действует как минимум с июня 2024 года. Среди её целей — промышленные компании, госучреждения и даже спортивные чиновники.

Анализ вредоносной программы и используемой инфраструктуры показал, что в HollowQuill и у FakeTicketer используются схожие дропперы и похожие доменные имена. В частности, эксперты нашли совпадения с вредоносом Zagrebator.Dropper, который связывают с FakeTicketer:

Оба дроппера — LazyOneLoader и Zagrebator.Dropper — написаны на C#.
У них одинаковые названия иконок («faylyk»).
И файлы, и иконки хранятся в ресурсах программы; дропперы извлекают эти данные и записывают их с помощью одного и того же класса — BinaryWrite.
Код, создающий ярлыки, почти не отличается.
Используются файлы с названиями OneDrive*.exe и OneDrive*.lnk для маскировки активности.

Кроме того, в F6 заметили, что FakeTicketer раньше регистрировали ряд доменов с одинаковыми данными владельца. Один из таких доменов — phpsymfony[.]info. При этом в HollowQuill фигурировал домен phpsymfony[.]com — он использовался как C2-сервер для Cobalt Strike.

По мнению исследователей, эти совпадения позволяют предположить, что за кампанией HollowQuill, скорее всего, стоит группа FakeTicketer — хотя и с оговоркой, что уверенность в этом пока средняя.

Следующая главная новость »

Карьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

Яков Шпунт 15 Января 2026 - 12:44

Соответствие законодательству РФ Домашние пользователи Государство

В Госдуме предложили штрафовать за сталкинг и навязчивое преследование

Глава комитета Госдумы по труду, социальной политике и делам ветеранов Ярослав Нилов предложил ввести в Кодекс об административных правонарушениях (КоАП) отдельную статью, предусматривающую ответственность за навязчивое преследование человека против его воли — сталкинг.

Как сообщает РИА Новости, законопроект о внесении изменений в КоАП уже подготовлен и направлён на согласование. Документ оказался в распоряжении агентства.

В пояснительной записке отмечается, что в российском законодательстве до сих пор отсутствует чёткое определение навязчивого преследования. Из-за этого жертвы сталкинга сталкиваются с серьёзными трудностями при попытке привлечь преследователей к ответственности в рамках действующих норм.

По словам Ярослава Нилова, закрепление соответствующей статьи позволит пострадавшим обращаться к районному прокурору по месту совершения правонарушения. После этого дело об административном правонарушении будет рассматриваться мировым судьёй.

При этом отдельные прецеденты привлечения к ответственности за сталкинг в России уже были. Так, в феврале 2025 года была оштрафована студентка, преследовавшая однокурсника, однако для этого потребовались значительные усилия и время.

«Навязчивое преследование, то есть действия, направленные на систематическое нежелательное внимание к человеку против его воли, включая слежку, телефонные звонки, СМС-сообщения, угрозы и запугивания, в том числе с использованием информационно-телекоммуникационных сетей, включая сеть “Интернет”, вызывающие психоэмоциональное напряжение, дискомфорт, страх или тревогу, влечёт предупреждение или наложение административного штрафа в размере двух тысяч рублей», — приводят РИА Новости выдержку из текста законопроекта.

В случае повторного нарушения предлагается увеличить штраф до пяти тысяч рублей либо назначить административный арест сроком до 15 суток.

Ранее собственный законопроект о борьбе с навязчивым преследованием внесла в Госдуму группа депутатов от фракции «Новые люди». В нём предусмотрены более высокие штрафы, а также вводится понятие охранного ордера — судебного запрета на приближение к жертве. Если жертвами преследования становятся несовершеннолетние, ответственность предлагается ужесточить вплоть до уголовной.

Карьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »