Cobalt Strike снова в деле: атаки на российский бизнес через GitHub

Екатерина Быстрова 30 Июля 2025 - 15:36

Малый и средний бизнес

Корпорации

Лаборатория Касперского

Бэкдоры

Трояны

Целевые атаки

Таргетированные атаки

...

Cobalt Strike снова в деле: атаки на российский бизнес через GitHub

Эксперты «Лаборатории Касперского» зафиксировали новую волну атак на российские компании с использованием инструмента Cobalt Strike Beacon — известного решения для удалённого доступа, которое часто используют в кибератаках. В этот раз злоумышленники пошли на хитрость: они размещают вредоносный код не где-нибудь, а прямо в профилях на GitHub, соцсетях и даже на Microsoft Learn Challenge и Quora.

Как проходит атака

Сценарий начинается, как обычно, с фишингового письма, которое выглядит как деловое сообщение от крупной компании — например, из нефтегазового сектора

Получатель якобы получает запрос на сотрудничество, а во вложении — архив с «техническим заданием» или «условиями конкурса». На деле внутри — подмена: среди документов прячутся исполняемые файлы, запускающие вредоносный код.

Чтобы запустить его, злоумышленники используют технику подмены DLL. Они также прибегают к использованию легитимной утилиты, которая в норме помогает разработчикам получать отчёты об ошибках в приложениях. Но в этом случае она запускает не отчёт, а нужный атакующим код.

Где прячется код

Чтобы обойти защиту и не «светиться», этот код подгружается уже во время работы — из внешних источников. В качестве хранилищ используются открытые профили на платформах вроде GitHub, Quora, Microsoft Learn и даже российских соцсетях. В этих профилях размещён зашифрованный контент, нужный для продолжения атаки.

Как подчёркивают в «Лаборатории Касперского», никакие реальные аккаунты, по их данным, не были взломаны — злоумышленники создавали отдельные учётки специально под такие атаки. Хотя технически ничто не мешает им спрятать ссылки и в комментариях к постам настоящих пользователей.

Что это значит для компаний

Атаки стали сложнее, но в основе по-прежнему старые подходы. Изменились лишь методы маскировки и доставки кода. По словам эксперта «Лаборатории Касперского» Максима Стародубова, бизнесу стоит серьёзно отнестись к вопросу цифровой гигиены: следить за актуальной информацией о киберугрозах, регулярно проверять инфраструктуру и держать под контролем всё, что происходит на цифровом периметре компании.

Следующая главная новость »

Кибератака на завод: как избежать простоя и убытков?
Регистрируйтесь на эфир!

Екатерина Быстрова 11 Июня 2026 - 10:08

Утечки информации Случайные утечки Случайное разглашение данных GenAI (генеративный искусственный интеллект)Соответствие законодательству РФ Общее Наталья Касперская

Наталья Касперская призвала регулировать сливы данных в ChatGPT

Пока сотрудники российских компаний массово загружают документы в ChatGPT и другие ИИ-сервисы, государству пора задуматься о регулировании этой сферы. Такое мнение высказала президент группы компаний InfoWatch и председатель правления ассоциации «Отечественный софт» Наталья Касперская.

Отвечая на вопрос ТАСС о необходимости государственного вмешательства, она была предельно лаконична: «Однозначно».

По мнению Касперской, искусственный интеллект сегодня является одной из самых опасных технологий, созданных человеком за последние десятилетия.

«После ядерной бомбы. Но о рисках никто не говорит», — заявила она.

Повод для беспокойства у представителей отрасли действительно есть. Согласно исследованию компании «Солар», опубликованному в начале года, за 2025 год сотрудники российских организаций передали в публичные ИИ-сервисы в 30 раз больше конфиденциальной информации, чем годом ранее.

Причём речь идёт не о безобидных запросах вроде. В числе данных, которые пользователи отправляли нейросетям, оказались презентации компаний, стратегические документы, аналитические таблицы и даже фрагменты программного кода.

Проблему уже давно называют теневым ИИ по аналогии с теневыми ИТ-сервисами. Формально компания может запрещать использование внешних нейросетей, но сотрудники продолжают пользоваться ими для работы, просто делают это самостоятельно и без контроля со стороны работодателя.

Любопытно, что даже внутри ИБ-сообщества пока нет единого ответа на вопрос, как именно бороться с такими утечками. Ранее глава «Лаборатории Касперского» Евгений Касперский признавал, что универсального решения пока не существует. При этом он напоминал, что за разглашение коммерческой информации в России уже предусмотрена уголовная ответственность.

Кибератака на завод: как избежать простоя и убытков?
Регистрируйтесь на эфир!