Vortex Werewolf атакует ОПК через фейковые документы в Telegram

Екатерина Быстрова 26 Января 2026 - 10:25

Таргетированные атаки

...

Vortex Werewolf атакует ОПК через фейковые документы в Telegram

Специалисты BI.ZONE Threat Intelligence рассказали о серии целевых атак группировки Vortex Werewolf, зафиксированных в декабре 2025 — январе 2026 года. Под удар попали оборонно-промышленные предприятия и органы государственного управления. И начиналось всё максимально буднично — с сообщения в Telegram и «важных рабочих документов».

Атакующие рассылали жертвам ссылки, которые выглядели как обычное файловое хранилище Telegram.

Формулировки были правдоподобными: срочно, по работе, нужно ознакомиться. Но за внешне безобидной ссылкой скрывался многоходовый сценарий — с угоном телеграм-аккаунта и установкой зловреда на Windows-устройство.

По данным исследователей, чаще всего ссылку отправляли напрямую в Telegram, хотя не исключено, что в ряде случаев использовалась и электронная почта. После перехода по ссылке пользователь попадал на поддельный процесс «восстановления доступа» к аккаунту.

Его просили ввести код, полученный на другом устройстве, а при включённой двухфакторной аутентификации — ещё и облачный пароль. Всё это якобы было нужно, чтобы документ «открылся полностью».

На самом деле таким образом злоумышленники получали полный доступ к активной сессии Telegram: перепискам, контактам и сохранённым данным. Как поясняет руководитель BI.ZONE Threat Intelligence Олег Скулкин, угон аккаунтов даёт атакующим сразу несколько преимуществ.

Во-первых, контакты жертвы можно использовать для дальнейшего фишинга — причём уже от имени реального человека, что резко повышает доверие. Во-вторых, многие пользователи хранят в «Избранном» документы, ссылки на рабочие ресурсы и даже логины с паролями. Для шпионской группировки это настоящая находка.

Но на этом атака не заканчивалась. После ввода кодов на устройство жертвы загружался ZIP-архив. Внутри — файл, замаскированный под PDF-документ, и скрытая папка с ещё одним архивом, набитым служебными файлами. Открывая «документ», пользователь запускал вредоносный скрипт, который в итоге предоставлял атакующим удалённый доступ к системе.

Для скрытого управления заражённым устройством злоумышленники устанавливали OpenSSH и Tor. Первый — легитимный инструмент для безопасного удалённого подключения — использовался для связи с командным сервером, а весь трафик прогонялся через Tor, чтобы замаскировать соединение.

Основная цель Vortex Werewolf — шпионаж. Группировка активна как минимум с декабря 2024 года. Незадолго до атак на российские организации аналитики Cyble и Secrite обнаружили похожую кампанию, нацеленную на предприятия ОПК и госструктуры в Беларуси.

На этом фоне эксперты BI.ZONE отмечают и более широкий тренд: ранее специалисты BI.ZONE Digital Risk Protection зафиксировали резкий рост числа мошеннических доменов, созданных специально для угона аккаунтов Telegram. Фишинг по-прежнему остаётся главным вектором атак — и всё чаще он переезжает в мессенджеры.

Следующая главная новость »

Российские платформы для обмена файлами: что реально работает?
Регистрируйтесь на эфир!

Екатерина Быстрова 16 Апреля 2026 - 12:08

Корпорации Сетевая безопасность Шлюзы информационной безопасности (Security Web Gateway)

Yandex B2B Tech и SolidLab запустили защитный шлюз для ИИ-приложений

Yandex B2B Tech вместе с SolidLab представила новый продукт для защиты ИИ-приложений — SolidWall AI Security Gateway. Решение должно помочь компаниям защитить цифровые сервисы на базе искусственного интеллекта от киберугроз, атак и утечек данных. Новый продукт работает как своего рода защитный шлюз между внешней сетью и ИИ-приложением.

Он отслеживает, какие данные отправляются в ИИ-систему, и помогает безопаснее использовать такие решения в бизнес-процессах.

В компании отмечают, что SolidWall AI Security Gateway рассчитан на защиту от распространённых угроз для ИИ по классификации OWASP, а также от массовых DDoS-атак, в том числе тех, где для обхода защитных механизмов применяются нейросети.

Решение создано на базе технологий Яндекса с учётом экспертизы SolidLab. Развернуть его можно как в инфраструктуре заказчика, так и по облачной модели.

Запуск выглядит вполне своевременным. По данным Gartner, в 2025 году 29% организаций столкнулись с атаками на инфраструктуру корпоративных ИИ-приложений, а ещё 32% — с атаками непосредственно на сами такие приложения. На этом фоне защита ИИ-сервисов постепенно превращается в отдельное направление информационной безопасности.

Как отметил директор по информационной безопасности Yandex Cloud Евгений Сидоров, SolidWall AI Security Gateway стал первым продуктом в рамках совместного предприятия с SolidLab. По его словам, в дальнейшем партнёры намерены выводить на рынок и другие ИБ-решения, делая подход к кибербезопасности более технологичным и гибким. Отдельный акцент компания делает именно на защите ИИ-систем: от консалтинга по безопасному применению ИИ до разработки практических инструментов защиты.

Одновременно Yandex B2B Tech обновила и другие продукты в своём ИБ-портфеле. Так, сервис Yandex Smart Web Security теперь получил защиту от DDoS-атак на уровнях L3 и L4 на базе собственной технологии Яндекса. Кроме того, в него встроили новый модуль SolidWall WAF, который сочетает негативную и позитивную модели защиты, анализирует поведение пользователей для выявления ботов и проводит инвентаризацию API.

Изменения затронули и сервис Security Deck. В нём появился модуль Vulnerability Management, предназначенный для управления уязвимостями на всех этапах жизненного цикла приложения — от разработки до эксплуатации. Модуль будет централизованно сканировать как приложения в хранилищах артефактов, так и уже работающие сервисы. Найденные угрозы автоматически сортируются по критичности, что должно упростить управление рисками в инфраструктуре.

Российские платформы для обмена файлами: что реально работает?
Регистрируйтесь на эфир!