Кибергруппа Erudite Mogwai взломали подрядчика и атаковали госведомство

Екатерина Быстрова 05 Ноября 2025 - 15:37

Таргетированные атаки

...

Кибергруппа Erudite Mogwai взломали подрядчика и атаковали госведомство

Специалисты центра Solar 4RAYS расследовали целевую атаку, связанную с деятельностью восточноазиатской кибергруппировки Erudite Mogwai. Злоумышленники рассылали сотрудникам одного из городских департаментов фишинговые письма, маскируясь под подрядчика ведомства.

В письмах содержалось требование проверить корпоративные ресурсы «на наличие новых киберугроз» и ссылка на архив с вредоносным файлом.

Атака произошла в мае 2025 года. Письмо было отправлено с почтового домена, ранее взломанного подрядчика.

Внутри архива находились три файла — документ с «анкетой сотрудника», PDF-файл с «планом по информационной безопасности» и lnk-файл, замаскированный под PDF-документ. Именно этот файл служил загрузчиком вредоносной программы.

По данным специалистов, программа проверяла, не запускается ли она в виртуальной среде: если определяла, что её анализируют, работа прекращалась. Такая защита помогала злоумышленникам скрывать следы атаки и усложняла исследование вредоноса.

Эксперты отметили, что подобные рассылки уже фиксировались в 2024 году. Тогда вредонос загружался с скомпрометированного легитимного сайта образовательной организации, что повышало доверие получателей. Исследователи выяснили, что цель атакующих — установить бэкдор для удалённого управления заражённым компьютером. Вредонос активировался не сразу, а через несколько часов после загрузки, что затрудняло его обнаружение.

Сравнение двух кампаний показало, что Erudite Mogwai постепенно совершенствуют свои фишинговые письма и методы скрытности. Эксперты предупреждают, что подобные атаки могут повториться, поскольку эта техника остаётся эффективным способом получения первоначального доступа к системам.

По совокупности признаков — характеру импланта, каналам связи и кодовым названиям вредоносов Pinocchio и Hermes — исследователи связали атаку именно с Erudite Mogwai. Ранее эта группировка использовала в названиях своих инструментов фразы из произведений по вселенным Гарри Поттера и Лавкрафта.

Специалисты советуют организациям внимательнее относиться к письмам от подрядчиков, особенно если в них содержатся ссылки на загрузку архивов. Если партнёр ранее не просил передавать данные подобным способом, стоит проверить письмо через службу безопасности, прежде чем открывать вложения.

Следующая главная новость »

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!

Екатерина Быстрова 03 Апреля 2026 - 12:18

Android iOS Трояны Домашние пользователи Лаборатория Касперского

Опасный троян SparkCat снова пробрался в App Store и Google Play

Троян SparkCat снова вернулся в официальные магазины приложений. Эксперты «Лаборатории Касперского» сообщили, что обнаружили новый вариант этого зловреда в App Store и Google Play спустя примерно год после того, как его уже находили и удаляли оттуда.

На этот раз вредонос маскировался под вполне обычные приложения, которые не вызывают особых подозрений с первого взгляда: корпоративные мессенджеры и сервисы доставки еды.

А сценарий у операторов всё тот же: пользователь скачивает вроде бы безобидное приложение, а внутри оказывается троян, который охотится за данными пользователя.

Главная цель SparkCat — фотографии в галерее смартфона. Зловред в определённых сценариях запрашивает доступ к снимкам, после чего начинает анализировать текст на изображениях с помощью OCR. В первую очередь его интересуют фразы для восстановления доступа к криптокошелькам. Если троян находит что-то подходящее, изображение отправляется злоумышленникам.

По данным «Лаборатории Касперского», в App Store нашли два заражённых приложения, а в Google Play — одно. О находке сообщили Apple и Google, и в Google Play вредоносное приложение уже удалили. При этом проблема не ограничивается только официальными магазинами: приложения со SparkCat также распространяются через сторонние сайты. Некоторые из них, как отмечают исследователи, даже мимикрируют под App Store, если открыть их с iPhone.

Интересно, что обновлённые версии трояна по-разному ведут себя на Android и iPhone. На Android SparkCat ищет ключевые слова на японском, корейском и китайском языках, из-за чего исследователи предполагают, что эта часть кампании в первую очередь нацелена на пользователей в Азии. А вот iOS-версия ориентируется на мнемонические фразы криптокошельков на английском языке, так что здесь география потенциальных атак уже выглядит гораздо шире.

С технической точки зрения зловред тоже стал хитрее. В «Лаборатории Касперского» говорят, что новая Android-версия использует несколько уровней обфускации, в том числе виртуализацию кода и кросс-платформенные языки программирования. Для мобильного зловреда это уже довольно серьёзный уровень подготовки, который помогает ему дольше оставаться незамеченным и проходить проверки.

Как отметил эксперт по кибербезопасности Сергей Пузан, поведение нового образца очень похоже на первую версию SparkCat, поэтому есть основания полагать, что за обеими кампаниями стоят одни и те же разработчики. Его коллега Дмитрий Калинин добавил, что SparkCat продолжает эволюционировать и всё лучше обходит защитные механизмы официальных магазинов приложений.

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!