Кибератаки на бизнес в России: DarkGaboon использует фишинг и омоглифы

Екатерина Быстрова 23 Июня 2025 - 13:15

Малый и средний бизнес

Таргетированные атаки

...

Кибератаки на бизнес в России: DarkGaboon использует фишинг и омоглифы

Исследователи из компании F6 проанализировали активность киберпреступной группы room155, также известной как DarkGaboon и Vengeful Wolf. По их данным, злоумышленники начали атаки на российские компании как минимум с декабря 2022 года — раньше, чем предполагалось ранее.

Первые публичные упоминания об этой группировке появились в 2025 году благодаря работе специалистов Positive Technologies.

Команда F6 изучила материалы на основе данных своей платформы киберразведки и выявила новые детали. В частности, удалось расширить временные рамки активности группы, уточнить список отраслей, по которым велись атаки, и описать недавние инциденты, произошедшие в мае-июне 2025 года.

Что известно о действиях room155:

Злоумышленники рассылают фишинговые письма с архивами во вложениях. Внутри — вредоносная программа и документ-приманка, часто скачанный с легитимных российских сайтов, связанных с финансовой тематикой.

Ранее фиксировались случаи распространения Revenge RAT и XWorm, но в арсенале группы есть и другие инструменты: Stealerium, DarkTrack, DCRat, AveMaria RAT, VenomRAT.

В одном и том же заражённом окружении нередко встречаются разные типы вредоносных программ, использующие одни и те же управляющие сервера. Злоумышленники подписывают вредоносные исполняемые файлы поддельными сертификатами X.509, а в названиях файлов и темах писем используют омоглифы — символы, которые выглядят похоже, но имеют разный код.

Кого атакуют:

Большинство атак room155 направлено на финансовые организации (51%). Также в списке целей — компании из сфер транспорта (16%), ретейла (10%), промышленности и логистики (по 7%), строительства и ЖКХ (3%), медицины, туризма и ИТ (по 2%).

Почему room155?

Имя «room155» исследователи взяли из названия почтовых аккаунтов, которые использовались злоумышленниками для связи с жертвами. Позже они зарегистрировали и домен с этим же сочетанием.

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Екатерина Быстрова 09 Февраля 2026 - 10:33

Фишинг Социальная инженерия Мошенничество Онлайн-мошенничество Домашние пользователи

Новая атака в Telegram использует официальную аутентификацию мессенджера

Эксперты зафиксировали новую и довольно изощрённую фишинговую кампанию в Telegram, которая уже активно используется против пользователей по всему миру. Главная особенность атаки в том, что злоумышленники не взламывают мессенджер и не подделывают его интерфейс, а аккуратно используют официальные механизмы аутентификации Telegram.

Как выяснили аналитики компании CYFIRMA, атакующие регистрируют собственные API-ключи Telegram (api_id и api_hash) и с их помощью инициируют реальные попытки входа через инфраструктуру самого мессенджера. Дальше всё зависит от того, как именно жертву заманят на фишинговую страницу.

Всего специалисты наткнулись на два подобных сценария. В первом случае пользователю показывают QR-код в стиле Telegram, якобы для входа в аккаунт. После сканирования кода в мобильном приложении запускается легитимная сессия, но уже на стороне злоумышленника.

Во втором варианте жертву просят вручную ввести номер телефона, одноразовый код или пароль двухфакторной защиты. Все эти данные тут же передаются в официальные API Telegram.

Ключевой момент атаки наступает позже. Telegram, как и положено, отправляет пользователю системное уведомление в приложении с просьбой подтвердить вход с нового устройства. И вот тут в дело вступает социальная инженерия. Фишинговый сайт заранее подсказывает, что это якобы «проверка безопасности» или «обязательная верификация», и убеждает нажать кнопку подтверждения.

В итоге пользователь сам нажимает «Это я» и официально разрешает доступ к своему аккаунту. Никакого взлома, обхода шифрования или эксплуатации уязвимостей не требуется: сессия выглядит полностью легитимной, потому что её одобрил владелец аккаунта.

По данным CYFIRMA, кампания хорошо организована и построена по модульному принципу. Бэкенд централизованный, а домены можно быстро менять, не затрагивая логику атаки. Такой подход усложняет обнаружение и блокировку инфраструктуры.

После захвата аккаунта злоумышленники, как правило, используют его для рассылки фишинговых ссылок контактам жертвы, что позволяет атаке быстро распространяться дальше — уже от лица доверенного пользователя.

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »