Группировка Scaly Wolf вернулась к атаке на машиностроение в России

Екатерина Быстрова 13 Августа 2025 - 13:38

Таргетированные атаки

...

Группировка Scaly Wolf вернулась к атаке на машиностроение в России

В «Доктор Веб» рассказали о новой целевой атаке на российскую компанию из машиностроительного сектора, которая уже попадала в поле зрения киберпреступников два года назад. Судя по всему, злоумышленники не оставили попыток заполучить корпоративные секреты предприятия и вернулись с обновленным набором инструментов.

В конце июня 2025 года специалисты компании начали расследование после того, как на одном из компьютеров предприятия антивирус стал регулярно детектировать угрозу.

Выяснилось, что это не ложные тревоги, а признаки активной атаки. Первый взлом произошёл ещё 12 мая — на компьютере, где не был установлен Dr.Web. Оттуда вредонос распространился на другие машины.

Киберпреступники использовали фишинговые письма с PDF-приманками и архивами, в которых исполняемые файлы были замаскированы под документы.

Ключевым элементом атаки стал загрузчик Trojan.Updatar.1, который подтягивал другие модули бэкдора. В ходе расследования специалисты обнаружили, что злоумышленники применяли обфускацию на основе списка популярных паролей RockYou.txt, чтобы усложнить анализ кода.

Дальше в ход пошли утилиты Meterpreter из Metasploit, инструменты для кражи учётных данных и туннелирования трафика, а также стандартные программы для удалённого администрирования, которые часто не блокируются антивирусом по умолчанию.

На некоторых компьютерах Dr.Web успешно блокировал попытки загрузки вредоносных компонентов, но атакующие продолжали пробовать новые варианты — вплоть до применения RemCom для отключения встроенной защиты Windows и поиска признаков наличия Dr.Web.

По данным «Доктор Веб», за атакой стоит группировка Scaly Wolf, уже знакомая по прошлой кампании против этого же предприятия. На этот раз она отказалась от троянов по модели MaaS, но активно использовала собственный модульный бэкдор, утилиты с открытым исходным кодом и поддельные системные уведомления для введения пользователей в заблуждение.

Эксперты напоминают: даже установленный антивирус — не панацея. Настройки защиты нужно адаптировать под корпоративную среду, регулярно обновлять системы и приложения, а также уделять внимание выявлению и блокировке нестандартных инструментов администрирования, которые могут использоваться в атаках.

Следующая главная новость »

Какую защиту веб-приложений использовать в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

Екатерина Быстрова 23 Января 2026 - 15:56

Утечки информации Умышленные утечки информации Кража данных Общее

В открытом доступе нашли 149 млн логинов и паролей от популярных сервисов

В Сети обнаружили одну из самых масштабных утечек логинов и паролей за последнее время — и какое-то время она была доступна буквально всем желающим. Речь идёт о базе данных с 149 миллионами учётных записей, включающей пароли от Gmail, Facebook (принадлежит Meta, признанной экстремистской и запрещенной в России), Binance и множества других сервисов.

На находку наткнулся известный ИБ-исследователь Джеремайя Фаулер. По его словам, база находилась в открытом доступе и спокойно открывалась через обычный браузер — без паролей, аутентификации и каких-либо ограничений.

После обращения к хостинг-провайдеру данные были удалены, так как нарушали правила сервиса.

Внутри базы оказались, в частности, 48 млн учётных записей Gmail, 17 млн Facebook, около 420 тыс. аккаунтов Binance, а также данные от Yahoo, Microsoft Outlook, iCloud, TikTok, Netflix, OnlyFans и даже образовательных доменов формата .edu. Помимо этого, Фаулер обнаружил логины от банковских сервисов, кредитных карт и государственных систем сразу нескольких стран.

Кто именно собрал эту базу и с какой целью — неизвестно. Однако формат хранения данных и их постоянное пополнение наводят на вполне конкретные мысли. Пока Фаулер пытался связаться с хостингом в течение месяца, база продолжала расти и обрастать новыми записями.

По его оценке, наиболее вероятный источник — инфостилеры, вредоносные программы, которые заражают устройства и собирают всё подряд: от нажатий клавиш до сохранённых паролей в браузере.

«Это буквально подарок для киберпреступников, — рассказал Фаулер. — Там есть данные самых разных типов: почта, соцсети, финансы, госдоступы. Всё аккуратно структурировано, будто система изначально создавалась для сбора больших объёмов информации и удобного поиска».

Любопытная деталь: каждая запись в базе имела уникальный идентификатор, который не повторялся. По словам исследователя, это выглядит так, словно данные автоматически классифицировались по мере поступления — удобный вариант, если в будущем их планировалось продавать или фильтровать под конкретные схемы мошенничества.

Эксперты подтверждают: инфостилеры сегодня стали одним из главных источников подобных утечек.

Напомним, на днях анализ 6 млрд учётных данных, утёкших в Сеть в 2025 году, показал: самые популярные пароли практически не меняются.

Какую защиту веб-приложений использовать в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »