Goffee атакует госструктуры в России: руткит, бэкдоры и трафик-маскировка

Екатерина Быстрова 22 Августа 2025 - 12:17

Корпорации

Государство

Positive Technologies

Таргетированные атаки

...

Goffee атакует госструктуры в России: руткит, бэкдоры и трафик-маскировка

Исследователи в области кибербезопасности из Positive Technologies обнаружили новый набор инструментов группировки Goffee, которая действует против российских организаций с 2022 года. Этот арсенал использовался на поздних этапах атак и позволял злоумышленникам долго оставаться незамеченными в сетях жертв.

В ряде случаев атаки уже приводили к серьёзным последствиям, включая остановку бизнес-процессов.

В течение 2024 года специалисты расследовали несколько инцидентов с общими признаками и объединили их в один кластер, связав с деятельностью Goffee.

Группировка применяет фишинг для проникновения в инфраструктуру, а после закрепления использует собственные и сторонние инструменты.

Среди новых средств: руткит sauropsida, программы для туннелирования трафика DQuic и BindSycler, а также бэкдор MiRat. Помимо этого, хакеры задействуют проверенные временем инструменты — модуль owowa для кражи учётных данных и агент PowerTaskel, работающий с фреймворком Mythic.

Характерная особенность Goffee — использование российских IP-адресов и хостингов. Это маскирует активность под действия внутренних сотрудников и позволяет обходить фильтрацию трафика по геолокации. На промежуточных этапах атаки это помогает незаметно доставлять вредоносное ПО и поддерживать скрытые соединения.

По словам экспертов, Goffee демонстрирует высокий уровень подготовки: применяет собственные средства туннелирования и руткит, что значительно усложняет обнаружение и анализ их операций. Основными целями группировки становятся государственные структуры в России, а основная задача атак — кибершпионаж.

Следующая главная новость »

Сбои, инциденты, простои: как мониторить ИТ в 2026?
Регистрируйтесь на эфир!

Яков Шпунт 22 Мая 2026 - 10:08

Соответствие законодательству РФ Общее Персональный VPN Анонимайзеры Системы контентной веб-фильтрации Соответствие требованиям регуляторов Наталья Касперская

Касперская: платный VPN ударит по российским разработчикам

Планы Минцифры ввести дополнительную плату за потребление международного трафика, в том числе для осложнения использования VPN, могут осложнить работу российских разработчиков и ослабить их конкурентоспособность. Это связано с сохраняющейся зависимостью отрасли от зарубежных технологий и инфраструктуры.

О возможных сложностях для ИТ-отрасли при изменении модели тарификации для российских пользователей рассказала президент ГК InfoWatch, председатель правления Ассоциации разработчиков программных продуктов «Отечественный софт» Наталья Касперская в эфире Радио РБК.

«Мне кажется, что брать деньги за международный трафик — это не совсем правильно. У нас всё-таки до сих пор интернет остаётся частью глобальной сети. Например, для разработки много чего по-прежнему находится за границами России. Россию ставят в неконкурентную ситуацию», – заявила Наталья Касперская.

Она напомнила, что разработчики во всех странах используют готовые компоненты, чтобы не писать код «с нуля». Это касается в том числе компаний, создающих проприетарные продукты. При этом многие владельцы репозиториев кода уже блокируют или ограничивают доступ для российских организаций.

О планах ввести дополнительную плату за превышение объёма зарубежного трафика стало известно в конце марта. Меру планировалось применить к пользователям мобильного интернета: дополнительная плата должна была взиматься за объём свыше 15 Гбайт в месяц.

Однако практическое внедрение оказалось сложным для операторов. 20 мая стало известно о переносе сроков запуска новой тарификации. Ориентировочной датой теперь называется октябрь.

Сбои, инциденты, простои: как мониторить ИТ в 2026?
Регистрируйтесь на эфир!