5 попыток открыть вредоносный файл: как фишинг бьёт по госсектору

5 попыток открыть вредоносный файл: как фишинг бьёт по госсектору

5 попыток открыть вредоносный файл: как фишинг бьёт по госсектору

Многие кибератаки оказываются успешными по простой причине: сотрудники организаций, на которые они направлены, не раздумывая открывают заражённые письма или переходят по злонамеренным ссылкам. Особенно остро эта проблема стоит в госсекторе и малом бизнесе.

Как сообщили «Известиям» в центре исследований киберугроз Solar 4RAYS ГК «Солар», при расследовании атаки группировки Cloud Atlas на одно из государственных учреждений выяснилось, что сотрудник пять раз пытался открыть заражённый файл.

Cloud Atlas известна с 2014 года и атакует госучреждения и промышленные компании в разных странах, включая Россию.

Для первичного проникновения злоумышленники используют заражённые документы в офисных форматах. Они имитируют деловую переписку и маскируются под коммерческие предложения, рекламу, справки или акты. Сам файл выступает лишь приманкой — при его открытии происходит загрузка вредоносного кода.

В случае, который расследовал Solar 4RAYS, сотрудник пытался открыть документ с якобы рекламой новосибирского предприятия. Однако установленная в учреждении система мониторинга не позволила загрузить вредоносный код с удалённого сервера в полном объёме.

«Этот пример показывает, насколько важно постоянно обучать сотрудников правилам кибергигиены», — отметил эксперт центра исследований киберугроз Solar 4RAYS ГК «Солар» Владимир Духанин.

Подобные случаи не единичны. Как подчеркнул старший аналитик Cyber Threat Intelligence «Лаборатории Касперского» Сергей Киреев, иногда негативный пример подают сами руководители. Он привёл случай директора небольшой компании, который игнорировал предупреждения ИТ-специалистов об опасности перехода по подозрительным ссылкам, считая, что за ними могут скрываться выгодные предложения. В итоге компания столкнулась с заражением.

В другом инциденте сотрудник, не сумев открыть документ, переслал его коллегам. В файле оказался троян, который привёл к заражению всей компании.

Был и случай, когда сотрудник попросил отправителей прислать «корректную» версию не открывающегося документа. Оказалось, что это были злоумышленники, допустившие ошибку при подготовке файла. Они исправили её и повторно отправили документ со зловредом, после чего организация была заражена.

Руководитель департамента Threat Intelligence экспертного центра безопасности Positive Technologies Денис Кувшинов также отметил, что злоумышленники активно пользуются неподготовленностью сотрудников, в том числе в государственных структурах. Он напомнил о кампании группировки Goffee, в ходе которой сотрудник несколько раз открывал вложение из фишингового письма, так как оно не запускалось. В других случаях пользователи не только сами открывали вложения, но и пересылали их коллегам, расширяя масштаб инцидента.

Госсектор остаётся одной из наиболее атакуемых отраслей в России. Основной способ первичного проникновения — фишинг, в том числе целевой.

По мнению Дениса Кувшинова, у сотрудников часто отсутствует достаточная настороженность, поскольку они не несут личной ответственности за последствия своих действий. Кроме того, сказывается недостаточный уровень защищённости самих организаций — при этом для отражения многих атак достаточно базовых мер защиты.

Руководитель направления отдела анализа и оценки цифровых угроз Infosecurity (ГК Softline) Кристина Буренкова обратила внимание, что злоумышленники часто выбирают моменты максимальной загрузки сотрудников: «В отчётный период у бухгалтеров или при большом потоке документов у госслужащих сотрудники действуют автоматически, не вникая в детали. Любое “срочно” в таких условиях получает приоритет. Особая категория — ИТ-специалисты и технический персонал. Им отправляют письма про “обновление системы” или “сбой безопасности”, и профессиональный автоматизм срабатывает против них».

«Внимательность напрямую зависит от эмоционального состояния и уровня внутренней устойчивости. При стрессе, тревожном информационном фоне и высокой нагрузке когнитивные фильтры работают хуже. В таком состоянии человек чаще действует автоматически и может пропустить угрозу. Фишинговые письма, замаскированные под деловые, бьют именно по стремлению быстро ответить и выполнить задачу», — подчеркнула психолог Мария Тодорова.

Android-троян RedHook включает отладку и лезет в систему как разработчик

Android-вредонос RedHook вернулся с апгрейдом, от которого владельцам смартфонов точно не станет спокойнее. Троян, впервые описанный в июле 2025 года, теперь умеет самостоятельно злоупотреблять ADB Wireless Debugging и получать шелл-права уровня uid 2000. Он не просто следит за экраном и крадёт данные, а лезет глубже в систему через легальные инструменты для разработчиков.

Базовый набор RedHook и раньше был неприятным: трансляция экрана, кейлоггер, управление интерфейсом через Accessibility, кража учётных данных. Но новые версии пошли дальше.

Вредонос использует разрешения Accessibility, чтобы сам включать режим разработчика, переходить в настройки и активировать беспроводную ADB-отладку. Всё это он делает за спиной пользователя, прикрываясь полноэкранным оверлеем.

 

Дальше в ход идёт встроенный ADB-клиент и подход в стиле Shizuku — легитимного инструмента, который позволяет приложениям работать с ADB-демоном локально. Только здесь удобство для энтузиастов превращается в подарок для атакующих.

 

После запуска привилегированного серверного процесса RedHook может выдавать себе разрешения, менять системные настройки, выполнять шелл-команды, тихо устанавливать и удалять приложения, а также перехватывать низкоуровневые касания без новых запросов к пользователю.

Распространяют RedHook по старинке — через социальную инженерию. Операторы подсовывают APK через фейковые сайты госорганов и финансовых организаций, а затем убеждают жертву установить приложение звонками или сообщениями. По данным Group-IB, кампания расширилась с Вьетнама на Индонезию, что указывает на более широкую активность в Юго-Восточной Азии.

 

За живучесть трояна тоже можно поставить мрачный плюс. Он использует однопиксельную активность, тихий звук в MediaSession, WakeLock, взаимный перезапуск процессов и восстановление после перезагрузки. После старта устройства RedHook снова включает Wireless ADB, подгружает ключи и быстро возвращает себе привилегированный доступ.

Командный сервер управляет вредоносом через WebSocket и REST: принимает пароли, СМС, скриншоты, кейлоги и отдаёт команды — от жестов на экране до включения камеры и установки APK.

RSS: Новости на портале Anti-Malware.ru