Шпионы Cavalry Werewolf шлют письма в Россию от имени киргизских госорганов
Главная » Новости
SECURITM — система управления информационной безопасностьюSECURITM — система управления информационной безопасностью. Сократите расходы, автоматизируйте проверку соответствия требованиям и сведите подготовку к аудиту до 2 дней. Единая система для рисков, уязвимостей, активов и комплаенса с AI-ассистентом, конструктором документов, ГОСТ 57580, КИИ, ПДн, ГИС и поддержкой других регуляторных документов.→ Ознакомиться
Реклама. ООО «СЕКЪЮРИТМ». ИНН 7820074059, 16+

Шпионы Cavalry Werewolf шлют письма в Россию от имени киргизских госорганов

Татьяна Никитина 25 Сентября 2025 - 13:01
...
Шпионы Cavalry Werewolf шлют письма в Россию от имени киргизских госорганов

Зафиксированы новые атаки APT-группы Cavalry Werewolf с целью шпионажа. Вредоносные имейл-сообщения, разосланные в российские организации, были написаны от имени сотрудников различных министерств Киргизии.

Злоумышленники, по словам BI.ZONE, умело имитировали официальную переписку. Целями шпионских атак являлись госучреждения, энергетические компании, а также предприятия горнодобычи и обрабатывающей промышленности.

Целевые рассылки в основном проводились с поддельных адресов отправителя. Иногда использовался контактный имейл одной из киргизских госструктур, указанный на ее сайте (ящик, по всей видимости, взломан).

«Мимикрия под госслужащих стран СНГ — это способ вызвать у пользователя доверие и подтолкнуть его открыть письмо с вложениями, — отметил руководитель BI.ZONE Threat Intelligence Олег Скулкин. — Важно помнить, что организации, под которые маскируются злоумышленники, не несут ответственности за действия преступников и причиненный в результате ущерб».

К фальшивкам был прикреплен RAR-архив, якобы содержащий важный документ, а на самом деле кастомного зловреда — скрипт FoalShell либо трояна StallionRAT, управляемого через Telegram.

 

В ходе расследования аналитики также обнаружили вредоносные файлы с именами на таджикском, английском и арабском языках. Не исключено, что шпионская группировка готовит новые атаки на территории Средней Азии и стран Ближнего Востока.

По данным экспертов, APT-группа Cavalry Werewolf, она же YoroTrooper, Tomiris и Silent Lynx, активна с августа 2022 года. Ее в основном интересуют госсектор и сфера финансов стран СНГ; в атаках используются и общедоступные инструменты, и собственные разработки (на Python, Go и PowerShell).

Боевой арсенал Cavalry Werewolf регулярно обновляется — так, сейчас они опробуют модификацию AsyncRAT, написанную на Rust. Опенсорсный инструмент удаленного администрирования уже несколько лет доступен на GitHub, и вирусописатели время от времени создают вредоносные клоны.

Согласно статистике BI.ZONE, в период с января по июль 2025 года доля кибершпионажа в общем объеме атак по России возросла до 36%. В 2023 году этот показатель составил 15%, в 2024-м — 21%.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Российские компании не устраняют уязвимости, найденные в ходе пентестов
Татьяна Никитина 26 Сентября 2025 - 12:33
Уязвимости программ Малый и средний бизнесКорпорации Системы для анализа защищенности информационных системСредства тестирования на проникновение
Российские компании не устраняют уязвимости, найденные в ходе пентестов

Выступая на РИФ-2025 в подмосковном Нахабино, замглавы Минцифры РФ Александр Шойтов поднял серьезную проблему ИБ: бизнес-структуры не спешат закрывать уязвимости, выявленные специалистами по пентесту.

Причина столь небрежного отношения к киберзащите во многих случаях прозаична: нехватка ресурсов. Кроме того, избавление от опасных находок может потребовать остановки рабочих процессов, пересмотра архитектуры или отказа от нестабильного подрядчика — на такие дополнительные издержки далеко не каждый согласен пойти.

А у государства, по словам Шойтова, сейчас нет рычагов, чтобы заставить компании латать обнаруженные в ходе пентестов прорехи. В результате ценная для злоумышленников информация попадает в паблик и расходится в даркнете, провоцируя новые взломы и утечки.

Согласно результатам пентестов, проведенных специалистами МегаФона в 2025 году, 60% организаций имеют уязвимости высокого и критического уровня. По прогнозу оператора, к концу года объем рынка таких услуг в России удвоится.

Причины понятны: число кибератак растет, они становятся все более сложными, а регуляторы ужесточают требования по защите. К сожалению, на деле выходит, что проверки защищенности, заказные или собственными силами, зачастую проводятся «для галочки», и при таком формальном подходе ситуация будет только усугубляться.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Четыре бага в Windows Defender Firewall позволяли получить права SYSTEM
Новость
Четыре бага в Windows Defender Firewall позволяли получить п...
В топ-100 мобильных приложений нашли более 2000 уязвимостей
Новость
В топ-100 мобильных приложений нашли более 2000 уязвимостей
Мошенники начали использовать информацию из Росреестра для атак
Новость
Мошенники начали использовать информацию из Росреестра для а...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.