Кибератаки на бизнес в России: DarkGaboon использует фишинг и омоглифы

Кибератаки на бизнес в России: DarkGaboon использует фишинг и омоглифы

Кибератаки на бизнес в России: DarkGaboon использует фишинг и омоглифы

Исследователи из компании F6 проанализировали активность киберпреступной группы room155, также известной как DarkGaboon и Vengeful Wolf. По их данным, злоумышленники начали атаки на российские компании как минимум с декабря 2022 года — раньше, чем предполагалось ранее.

Первые публичные упоминания об этой группировке появились в 2025 году благодаря работе специалистов Positive Technologies.

Команда F6 изучила материалы на основе данных своей платформы киберразведки и выявила новые детали. В частности, удалось расширить временные рамки активности группы, уточнить список отраслей, по которым велись атаки, и описать недавние инциденты, произошедшие в мае-июне 2025 года.

Что известно о действиях room155:

Злоумышленники рассылают фишинговые письма с архивами во вложениях. Внутри — вредоносная программа и документ-приманка, часто скачанный с легитимных российских сайтов, связанных с финансовой тематикой.

Ранее фиксировались случаи распространения Revenge RAT и XWorm, но в арсенале группы есть и другие инструменты: Stealerium, DarkTrack, DCRat, AveMaria RAT, VenomRAT.

В одном и том же заражённом окружении нередко встречаются разные типы вредоносных программ, использующие одни и те же управляющие сервера. Злоумышленники подписывают вредоносные исполняемые файлы поддельными сертификатами X.509, а в названиях файлов и темах писем используют омоглифы — символы, которые выглядят похоже, но имеют разный код.

Кого атакуют:

Большинство атак room155 направлено на финансовые организации (51%). Также в списке целей — компании из сфер транспорта (16%), ретейла (10%), промышленности и логистики (по 7%), строительства и ЖКХ (3%), медицины, туризма и ИТ (по 2%).

Почему room155?

Имя «room155» исследователи взяли из названия почтовых аккаунтов, которые использовались злоумышленниками для связи с жертвами. Позже они зарегистрировали и домен с этим же сочетанием.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Российский мессенджер MAX обзавелся системой мониторинга событий в ИБ

Специалисты VK внедрили в платформу MAX систему безопасности класса SIEM собственной разработки компании. Интеграция призвана усилить защиту пользователей мессенджера и ускорить реагирование на киберинциденты.

Решение VK SIEM способно анализировать события реального времени со скоростью свыше 3 млн в секунду. В настоящее время система обрабатывает более 200 млрд событий ИБ в сутки; около 15% из них генерирует мессенджер MAX.

«Эта технология не просто защищает текущую аудиторию, но и готова масштабироваться на десятки миллионов пользователей», — подчеркнул Дмитрий Куколев, руководитель SOC VK.

Ранее в MAX в целях усиления безопасности был внедрен автоматизированный анализатор кода на основе ИИ, тоже разработки VK. Для поиска уязвимостей в мессенджере и связанных сервисах на площадках VK Bug Bounty запущена специализированная программа.

Вся инфраструктура MAX размещена в России; соответствующие мобильные приложения доступны в App Store, RuStore и Google Play .Ожидается, что к ноябрю на платформе появится доступ к ЕСИА и порталу госуслуг.

Развитием национального мессенджера, решением российского правительства, будет заниматься компания «Коммуникационная платформа» — дочка VK.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru