Cavalry Werewolf атакует дипведомства и госструктуры в России и странах СНГ

Екатерина Быстрова 28 Ноября 2025 - 12:09

Корпорации

Государство

Лаборатория Касперского

Таргетированные атаки

...

Cavalry Werewolf атакует дипведомства и госструктуры в России и странах СНГ

«Лаборатория Касперского» проанализировала новые кампании кибершпионов из группы Tomiris (она же Cavalry Werewolf), которая действует с начала 2025 года и до сих пор остаётся активной. Атаки направлены в первую очередь на государственные структуры — главным образом дипломатические службы — в России и странах СНГ. Всего с активностью злоумышленников столкнулись более тысячи пользователей.

Tomiris по-прежнему делает ставку на фишинг. Жертвам рассылают письма с архивами, внутри которых находится вредоносный исполняемый файл, замаскированный под официальный документ.

В одном из примеров злоумышленники просили «оценить проекты для развития российских регионов» — открытие такого файла приводило к заражению системы.

Более половины таких писем составлены на русском языке, что указывает на русскоязычный сегмент как основную цель кампании. Остальные сообщения адаптированы под Туркменистан, Кыргызстан, Таджикистан и Узбекистан.

После запуска вредоносного файла на устройстве появляются различные импланты, чаще всего — реверс-шеллы, написанные на разных языках. Они ждут дальнейших команд и затем загружают дополнительные инструменты, включая фреймворки AdaptixC2 и Havoc.

Для связи с командными серверами в некоторых случаях используются популярные сервисы вроде Telegram и Discord — это помогает маскировать трафик под обычную активность пользователя.

На компрометированных устройствах злоумышленники ищут документы и графические файлы: .jpg, .png, .pdf, .xlsx, .docx и другие.

Эксперт «Лаборатории Касперского» Олег Купреев отмечает, что Tomiris заметно усложнила свои методы:

«Группа старается максимально скрыть присутствие в системе и закрепиться в ней надолго. Использование имплантов на разных языках и переход к общедоступным сервисам как к C2-каналу — часть этой стратегии».

О Tomiris стало известно в 2021 году, когда специалисты «Лаборатории Касперского» впервые описали её деятельность. Тогда злоумышленники также атаковали структуры в СНГ, а главной целью была кража внутренних документов.

По данным «Лаборатории Касперского», продукты компании успешно обнаруживают угрозу под разными вердиктами, включая HEUR:Backdoor.Win64.RShell.gen, HEUR:Backdoor.MSIL.RShell.gen, HEUR:Backdoor.Win64.Telebot.gen и другие.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 28 Ноября 2025 - 10:26

Соответствие законодательству РФ Малый и средний бизнес Корпорации Системы обнаружения целевых атак на конечных точках сети (EDR)Сетевая безопасность Межсетевой экран Межсетевые экраны нового поколения (NGFW)Web Application Firewall (WAF)Системы защиты от утечек конфиденциальной информации (DLP)Системы мониторинга событий безопасности SIEM-системы Соответствие требованиям регуляторов Код Безопасности

64% компаний в России не будут сокращать ИБ-бюджеты в 2026 году

По данным нового исследования «Кода Безопасности», российский бизнес в целом не планирует экономить на информационной безопасности в 2026 году. В опросе участвовали компании, уже использующие ИБ-продукты, а также интеграторы. 32% респондентов заявили, что расходы на ИБ останутся на прежнем уровне, столько же планируют увеличить бюджет.

Лишь 7% компаний собираются сократить траты, а ещё 28% пока не определились.

Главной преградой для роста ИБ-бюджетов остаются финансовые трудности: об этом сообщили 42% участников опроса. Это заметно больше, чем в прошлые годы. Основные направления вложений остаются прежними — защита персональных данных вне ГИС (59%), замена решений ушедших иностранных вендоров (49%) и защита критической инфраструктуры (49%).

Большинство компаний, участвовавших в исследовании, заявили, что выстраивают ИБ по стратегическому плану — так ответили 63%. Лишь у 18% стратегия отсутствует, и это минимальный уровень за последние пять лет (для сравнения: в 2021 году таких компаний было 38%). Обычно компании планируют развитие ИБ на горизонте трёх лет.

Среди приоритетов на ближайшие годы респонденты выделили:

Endpoint Detection and Response (EDR) — 44%;
NGFW/UTM — 41%;
Web Application Firewall (WAF) — 32%;
Data Leak Prevention (DLP) — 30%.

Эксперты «Кода Безопасности» отмечают, что растёт интерес к Zero Trust, PAM и SOAR, при этом востребованность крупных SIEM-платформ снижается. Компании начинают фокусироваться на практических инструментах локальной защиты и быстрого реагирования.

Отношение к ИИ в ИБ остаётся сдержанным. Почти половина компаний (48%) не планируют его внедрять, ещё 17% не видят в нём необходимости. Только 4% используют такие технологии в промышленной эксплуатации.

В вопросе выбора вендоров компании склонны к стабильности: 67% не меняют поставщиков вовсе или делают это реже раза в шесть лет. Лишь 10% пересматривают партнёрство раз в два–три года, и только 1% — ежегодно. Основные причины отказа от совместной работы: несоответствие требованиям регуляторов (59%), иностранное происхождение решений (49%), недостаточная эффективность технологий (45%), сложности во взаимодействии и отсутствие комплексных продуктов.

Cavalry Werewolf атакует дипведомства и госструктуры в России и странах СНГ

Читайте также