Cobalt Strike снова в деле: атаки на российский бизнес через GitHub
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Cobalt Strike снова в деле: атаки на российский бизнес через GitHub

Екатерина Быстрова 30 Июля 2025 - 15:36
...
Cobalt Strike снова в деле: атаки на российский бизнес через GitHub

Эксперты «Лаборатории Касперского» зафиксировали новую волну атак на российские компании с использованием инструмента Cobalt Strike Beacon — известного решения для удалённого доступа, которое часто используют в кибератаках. В этот раз злоумышленники пошли на хитрость: они размещают вредоносный код не где-нибудь, а прямо в профилях на GitHub, соцсетях и даже на Microsoft Learn Challenge и Quora.

Как проходит атака

Сценарий начинается, как обычно, с фишингового письма, которое выглядит как деловое сообщение от крупной компании — например, из нефтегазового сектора

Получатель якобы получает запрос на сотрудничество, а во вложении — архив с «техническим заданием» или «условиями конкурса». На деле внутри — подмена: среди документов прячутся исполняемые файлы, запускающие вредоносный код.

Чтобы запустить его, злоумышленники используют технику подмены DLL. Они также прибегают к использованию легитимной утилиты, которая в норме помогает разработчикам получать отчёты об ошибках в приложениях. Но в этом случае она запускает не отчёт, а нужный атакующим код.

Где прячется код

Чтобы обойти защиту и не «светиться», этот код подгружается уже во время работы — из внешних источников. В качестве хранилищ используются открытые профили на платформах вроде GitHub, Quora, Microsoft Learn и даже российских соцсетях. В этих профилях размещён зашифрованный контент, нужный для продолжения атаки.

Как подчёркивают в «Лаборатории Касперского», никакие реальные аккаунты, по их данным, не были взломаны — злоумышленники создавали отдельные учётки специально под такие атаки. Хотя технически ничто не мешает им спрятать ссылки и в комментариях к постам настоящих пользователей.

Что это значит для компаний

Атаки стали сложнее, но в основе по-прежнему старые подходы. Изменились лишь методы маскировки и доставки кода. По словам эксперта «Лаборатории Касперского» Максима Стародубова, бизнесу стоит серьёзно отнестись к вопросу цифровой гигиены: следить за актуальной информацией о киберугрозах, регулярно проверять инфраструктуру и держать под контролем всё, что происходит на цифровом периметре компании.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Опубликована программа CyberCamp 2025: более 40 докладов и киберучения
Екатерина Быстрова 03 Октября 2025 - 18:20
Домашние пользователиКорпорации Инфосистемы Джет
Опубликована программа CyberCamp 2025: более 40 докладов и киберучения

Организаторы онлайн-кэмпа по практической кибербезопасности представили программу мероприятия. В этом году CyberCamp пройдёт с 20 по 25 октября и объединит более 40 докладов, киберучения и дискуссии специалистов. 20 октября состоится церемония открытия, а с 21 по 23 октября — основные выступления.

Среди участников — эксперты из «Инфосистемы Джет», BI.ZONE, Positive Technologies, R-Vision, «Лаборатории Касперского», OZON Tech и других компаний.

Темы охватывают широкий спектр вопросов: от анализа APT-группировок и методов расследования инцидентов до практик защиты контейнерных приложений и поиска инфраструктуры злоумышленников.

  • 21 октября ожидаются доклады о группировке XDSpy, инструментах туннелирования, особенностях реагирования на инциденты и взаимодействии ИБ и PR.
  • 22 октября будут представлены исследования отчётов Bug Bounty, доклады об OSINT, уязвимостях в «1С: Предприятие» и построении сервисной модели управления ИБ.
  • 23 октября в программе — обсуждение защиты контейнерных приложений, DDoS-атак в CDN, пентеста FreeIPA и поиска C2-инфраструктуры.

24 и 25 октября пройдут киберучения и круглые столы. Участники обсудят вопросы расследования атак, построения устойчивой защиты, карьерные перспективы в сфере информационной безопасности и проблему профессионального выгорания.

Полная программа опубликована на сайте CyberCamp 2025. Участие бесплатное, трансляции и материалы будут доступны онлайн.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
При ограничениях на работу интернета сохранится доступ к ряду ресурсов
Новость
При ограничениях на работу интернета сохранится доступ к ряд...
Brave запретил Windows Recall делать скриншоты браузера
Новость
Brave запретил Windows Recall делать скриншоты браузера
MAX начал блокировать доступ через альтернативные клиенты
Новость
MAX начал блокировать доступ через альтернативные клиенты

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.