Кибератаки на бизнес в России: DarkGaboon использует фишинг и омоглифы

Екатерина Быстрова 23 Июня 2025 - 13:15

Малый и средний бизнес

Таргетированные атаки

...

Кибератаки на бизнес в России: DarkGaboon использует фишинг и омоглифы

Исследователи из компании F6 проанализировали активность киберпреступной группы room155, также известной как DarkGaboon и Vengeful Wolf. По их данным, злоумышленники начали атаки на российские компании как минимум с декабря 2022 года — раньше, чем предполагалось ранее.

Первые публичные упоминания об этой группировке появились в 2025 году благодаря работе специалистов Positive Technologies.

Команда F6 изучила материалы на основе данных своей платформы киберразведки и выявила новые детали. В частности, удалось расширить временные рамки активности группы, уточнить список отраслей, по которым велись атаки, и описать недавние инциденты, произошедшие в мае-июне 2025 года.

Что известно о действиях room155:

Злоумышленники рассылают фишинговые письма с архивами во вложениях. Внутри — вредоносная программа и документ-приманка, часто скачанный с легитимных российских сайтов, связанных с финансовой тематикой.

Ранее фиксировались случаи распространения Revenge RAT и XWorm, но в арсенале группы есть и другие инструменты: Stealerium, DarkTrack, DCRat, AveMaria RAT, VenomRAT.

В одном и том же заражённом окружении нередко встречаются разные типы вредоносных программ, использующие одни и те же управляющие сервера. Злоумышленники подписывают вредоносные исполняемые файлы поддельными сертификатами X.509, а в названиях файлов и темах писем используют омоглифы — символы, которые выглядят похоже, но имеют разный код.

Кого атакуют:

Большинство атак room155 направлено на финансовые организации (51%). Также в списке целей — компании из сфер транспорта (16%), ретейла (10%), промышленности и логистики (по 7%), строительства и ЖКХ (3%), медицины, туризма и ИТ (по 2%).

Почему room155?

Имя «room155» исследователи взяли из названия почтовых аккаунтов, которые использовались злоумышленниками для связи с жертвами. Позже они зарегистрировали и домен с этим же сочетанием.

Следующая главная новость »

В прямом эфире подведем итоги года для рынка информационных технологий. Присоединяйтесь! »

Татьяна Никитина 29 Декабря 2025 - 20:56

Эксплойты Атаки на сайты Уязвимости сайтов Малый и средний бизнес Корпорации

Срочно патчим MongoDB: уязвимость под атакой, PoC-эксплойт в паблике

Недавно пропатченная и обнародованная уязвимость в MongoDB, грозящая кражей конфиденциальных данных, уже активно используется в атаках. Публикация PoC повысила угрозу, админам советуют как можно скорее обновить продукт.

Причиной появления проблемы CVE-2025-14847, получившей кодовое имя MongoBleed, является логическая ошибка в реализации разуплотнения данных с помощью zlib, которое к тому же происходит до аутентификации.

При получении сообщений от клиента сервер MongoDB слепо доверяет размеру данных, указанному при передаче, и в результате может вернуть содержимое неинициализированной динамической области памяти.

В итоге путем подачи множественных запросов к серверу неавторизованный злоумышленник сможет заполучить такую конфиденциальную информацию, как внутренние состояния и указатели. Взаимодействия с законным пользователем тоже не потребуется.

Уязвимости, получившей 8,7 балла по шкале CVSS, подвержены многие версии СУБД MongoDB, и поддерживаемые, и устаревшие. Угроза также актуальна для Ubuntu.

Вышедший в этом месяце патч включен в состав сборок 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 и 4.4.30. Ввиду текущих атак, а также публикации PoC-кода на GitHub пользователям рекомендуется в кратчайшие сроки произвести обновление.

При отсутствии такой возможности можно временно отключить zlib, ограничить доступ к серверу MongoDB по сети и ввести мониторинг логов на предмет аномальных неавторизованных подключений.

Сканирование интернета, проведенное в Censys, выявило более 87 тыс. потенциально уязвимых экземпляров MongoDB, с наибольшей концентрацией в США, Китае и Германии.