Российские предприятия атакованы под видом ВОЕНМЕХа — F6 винит FakeTicketer
Главная » Новости

Российские предприятия атакованы под видом ВОЕНМЕХа — F6 винит FakeTicketer

Екатерина Быстрова 03 Апреля 2025 - 13:29
...
Российские предприятия атакованы под видом ВОЕНМЕХа — F6 винит FakeTicketer

Специалисты из департамента Threat Intelligence компании F6 обнаружили ряд признаков, указывающих на связь между кибершпионской кампанией HollowQuill и известной киберпреступной группировкой FakeTicketer.

По данным F6, атаки были направлены на российские промышленные предприятия. Хакеры использовали документ, который выглядел как официальное письмо от имени Балтийского государственного технического университета «ВОЕНМЕХ».

Однако еще в конце 2024 года активность, связанную с этой кампанией, заметили эксперты из Positive Technologies. Теперь же специалисты F6 провели дополнительное расследование и обнаружили пересечения с операциями группы FakeTicketer.

та группа, предположительно занимающаяся кибершпионажем, действует как минимум с июня 2024 года. Среди её целей — промышленные компании, госучреждения и даже спортивные чиновники.

Анализ вредоносной программы и используемой инфраструктуры показал, что в HollowQuill и у FakeTicketer используются схожие дропперы и похожие доменные имена. В частности, эксперты нашли совпадения с вредоносом Zagrebator.Dropper, который связывают с FakeTicketer:

  • Оба дроппера — LazyOneLoader и Zagrebator.Dropper — написаны на C#.
  • У них одинаковые названия иконок («faylyk»).
  • И файлы, и иконки хранятся в ресурсах программы; дропперы извлекают эти данные и записывают их с помощью одного и того же класса — BinaryWrite.
  • Код, создающий ярлыки, почти не отличается.
  • Используются файлы с названиями OneDrive*.exe и OneDrive*.lnk для маскировки активности.

Кроме того, в F6 заметили, что FakeTicketer раньше регистрировали ряд доменов с одинаковыми данными владельца. Один из таких доменов — phpsymfony[.]info. При этом в HollowQuill фигурировал домен phpsymfony[.]com — он использовался как C2-сервер для Cobalt Strike.

По мнению исследователей, эти совпадения позволяют предположить, что за кампанией HollowQuill, скорее всего, стоит группа FakeTicketer — хотя и с оговоркой, что уверенность в этом пока средняя.

Следующая главная новость »
AM LiveVulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!

Telegram приписал чужую победу: кто на самом деле починил прокси
Екатерина Быстрова 06 Апреля 2026 - 13:51
Соответствие законодательству РФ Домашние пользователи Системы контентной веб-фильтрации
Telegram приписал чужую победу: кто на самом деле починил прокси

Давид Осипов из B2B обвинил Telegram в том, что команда мессенджера присвоила себе заслуги за обход блокировок прокси в России. По его версии, критические исправления для FakeTLS первыми нашли и подготовили не разработчики Telegram, а энтузиасты из сообщества Telemt.

Осипов пишет, что официальная команда мессенджера якобы месяцами не трогала проблемный код, хотя разговоры о возможных ограничениях Telegram-прокси в России шли как минимум с начала 2026 года.

Когда в апреле у многих пользователей начали отваливаться соединения, а встроенная маскировка FakeTLS перестала работать как надо, Telegram, по его словам, не предложил быстрого собственного решения, а паузу заполнили участники профильного сообщества.

По версии Осипова, именно энтузиасты занялись разбором TLS-хендшейка, сравнили поведение Telegram с трафиком обычного браузера, нашли подозрительные сигнатуры и подготовили конкретные исправления. После этого изменения оформили в предложения для изменения кода Telegram Desktop, а уже затем часть этих правок попала в официальный клиент.

То, что Telegram Desktop действительно получил свежие обновления в начале апреля, видно по странице релизов на GitHub: там указаны версии 6.7.2 и 6.7.3, выпущенные 3 и 4 апреля. В README проекта Telemt при этом отдельно сказано, что исправленный TLS ClientHello уже доступен в Telegram Desktop начиная с версии 6.7.2, а для Android официальные релизы ещё находятся в процессе внедрения.

Главная претензия Осипова: Telegram в публичной коммуникации выглядит победителем, хотя реальную инженерную работу, по его мнению, сначала проделало сообщество. Особенно его задела формулировка из поста Павла Дурова о том, что Telegram «со своей стороны» продолжит адаптироваться и делать трафик мессенджера более трудным для обнаружения и блокировки. Дуров действительно написал, что команда будет и дальше усложнять детектирование и блокировку трафика Telegram на фоне ограничений в России.

Осипов при этом настаивает: нынешние исправления — это лишь хотфикс, а не полноценное решение. По его словам, даже после патча в реализации FakeTLS остаются другие потенциально заметные сигнатуры, а значит, проблема не сводится к паре строк кода. Иначе говоря, история, по его версии, ещё далеко не закончилась.

AM LiveVulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!
F6 запустила сервис активного сканирования для проверки на уязвимости 
Новость
F6 запустила сервис активного сканирования для проверки на у...
Создатель OnlyFake признал вину в продаже ИИ-подделок
Новость
Создатель OnlyFake признал вину в продаже ИИ-подделок
ИИ в WhatsApp получил функцию организации диалогов
Новость
ИИ в WhatsApp получил функцию организации диалогов

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2026. Все права защищены.