Cobalt Strike снова в деле: атаки на российский бизнес через GitHub

Екатерина Быстрова 30 Июля 2025 - 15:36

Малый и средний бизнес

Корпорации

Лаборатория Касперского

Бэкдоры

Трояны

Целевые атаки

Таргетированные атаки

...

Cobalt Strike снова в деле: атаки на российский бизнес через GitHub

Эксперты «Лаборатории Касперского» зафиксировали новую волну атак на российские компании с использованием инструмента Cobalt Strike Beacon — известного решения для удалённого доступа, которое часто используют в кибератаках. В этот раз злоумышленники пошли на хитрость: они размещают вредоносный код не где-нибудь, а прямо в профилях на GitHub, соцсетях и даже на Microsoft Learn Challenge и Quora.

Как проходит атака

Сценарий начинается, как обычно, с фишингового письма, которое выглядит как деловое сообщение от крупной компании — например, из нефтегазового сектора

Получатель якобы получает запрос на сотрудничество, а во вложении — архив с «техническим заданием» или «условиями конкурса». На деле внутри — подмена: среди документов прячутся исполняемые файлы, запускающие вредоносный код.

Чтобы запустить его, злоумышленники используют технику подмены DLL. Они также прибегают к использованию легитимной утилиты, которая в норме помогает разработчикам получать отчёты об ошибках в приложениях. Но в этом случае она запускает не отчёт, а нужный атакующим код.

Где прячется код

Чтобы обойти защиту и не «светиться», этот код подгружается уже во время работы — из внешних источников. В качестве хранилищ используются открытые профили на платформах вроде GitHub, Quora, Microsoft Learn и даже российских соцсетях. В этих профилях размещён зашифрованный контент, нужный для продолжения атаки.

Как подчёркивают в «Лаборатории Касперского», никакие реальные аккаунты, по их данным, не были взломаны — злоумышленники создавали отдельные учётки специально под такие атаки. Хотя технически ничто не мешает им спрятать ссылки и в комментариях к постам настоящих пользователей.

Что это значит для компаний

Атаки стали сложнее, но в основе по-прежнему старые подходы. Изменились лишь методы маскировки и доставки кода. По словам эксперта «Лаборатории Касперского» Максима Стародубова, бизнесу стоит серьёзно отнестись к вопросу цифровой гигиены: следить за актуальной информацией о киберугрозах, регулярно проверять инфраструктуру и держать под контролем всё, что происходит на цифровом периметре компании.

Следующая главная новость »

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!

Яков Шпунт 01 Июня 2026 - 08:56

Домашние пользователи Государство Системы аутентификации Биометрические системы аутентификации

В Шереметьево и Пулково начался эксперимент по посадке с помощью биометрии

Сегодня в рамках программы «Аэрофлот Шаттл» пассажиры могут пройти идентификацию с помощью биометрии при регистрации, проходе в зону ожидания внутренних вылетов и посадке на рейс. Сдать биометрические данные можно прямо в аэропорту.

Сервис также будет доступен тем, кто передал такие данные заранее, например в офисах банка ВТБ, и разрешил их использование через «Госуслуги» или на сайте авиакомпании.

О тестировании посадки в самолёт с помощью биометрии «Аэрофлот» сообщил ещё в декабре 2025 года. Однако тогда конкретные сроки запуска эксперимента не назывались из-за необходимости согласовать все процедуры. Дату 1 июня 2026 года впервые публично назвал исполняющий обязанности ИТ-директора «Аэрофлота» Денис Попов на конференции ЦИПР-2026 19 мая.

Первыми новым сервисом воспользовались пассажиры, вылетевшие из Пулково, пишет «Фонтанка». Среди них были блогеры Татьяна Соловьёва, Марк Ерёмин и Артём Каширин, сотрудники сервиса «Мигом», участвовавшие в запуске сервиса, а также представители самого аэропорта. Позже об аналогичной возможности сообщил аэропорт Шереметьево.

Эксперимент будут расширять по мере готовности инфраструктуры других аэропортов.

«Сервис находится в высокой степени готовности. Сейчас завершается подготовка инфраструктуры аэропортов к приёму первых пассажиров. При этом каждый сможет самостоятельно решить, как именно пройти на борт — по паспорту или с использованием современных технологий. Применение биометрии исключительно добровольно», — рассказал «Российской газете» заместитель председателя правительства — руководитель аппарата правительства России Дмитрий Григоренко.

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!