Главная страница » Индикаторы компрометации
0
4 часа
Индикаторы компрометации

Активность группировки CapFix набирает обороты: новые атаки на промышленность и авиастроение с использованием усовершенствованного бэкдора

APT

В конце 2025 - начале 2026 года российский промышленный и авиастроительный секторы столкнулись с новой волной целенаправленных кибератак. За ними, как установили специалисты Positive Technologies, стоит группа CapFix, известная своими финансово мотивированными кампаниями. Однако в этот раз тактика и выбор целей указывают на возможную эскалацию угрозы в сторону методов, характерных для APT-групп, что вызывает серьёзную озабоченность у экспертов по информационной безопасности.

Описание

Атаки начинались с фишинговых рассылок, где документы в форматах PDF или HTML маскировались под официальные обращения от государственных структур. Вредоносные файлы, например, носили названия вроде "Приказ № ФСБ-1412025" или "Перечень_документов_для_отчета_по_тренингу_ИБ_ФСБ", что явно рассчитано на доверие сотрудников. Вместо ожидаемого содержания документ сообщал об ошибке и предлагал нажать кнопку для "разблокировки" или повторной загрузки. Этот клик запускал цепочку заражения, приводящую к установке сложного вредоносного инструментария.

Ключевой особенностью последних операций CapFix стало активное использование скомпрометированной легитимной инфраструктуры. Злоумышленники размещали вредоносные архивы на взломанных корпоративных серверах, а для управления использовали подконтрольные им поддомены популярных почтовых веб-клиентов. Эксперты предполагают, что первоначальный доступ к этим ресурсам мог быть получен путём эксплуатации критической уязвимости CVE-2025-49119 в почтовом клиенте Roundcube Webmail, что подчёркивает важность своевременного обновления всех публично доступных систем. Такой подход позволяет атакующим дольше оставаться незамеченными, так как трафик на легитимные домены реже вызывает подозрения у систем защиты.

Основным инструментом в арсенале группы стал бэкдор CapDoor, который за время наблюдений претерпел значительные изменения. Если ранние версии представляли собой классический исполняемый файл, то в новых атаках он доставляется в виде сложного многоступенчатого шеллкода. Для его запуска используется изощрённая цепочка DLL sideloading - техника, при которой легитимное подписанное приложение загружает вредоносную динамическую библиотеку из-за неправильного порядка поиска DLL. Это позволяет зловреду работать в контексте доверенного процесса, обходя многие защитные механизмы. Полезная нагрузка CapDoor при этом часто скрыта внутри обычных WAV-файлов с мелодией будильника, что ещё больше затрудняет её обнаружение.

После успешного заражения CapDoor собирает детальную информацию о системе, включая имя компьютера, учётные данные пользователя и данные об операционной системе. Затем он устанавливает постоянное соединение с командным сервером (C2), ожидая инструкций. Функционал бэкдора позволяет выполнять произвольные PowerShell-команды, загружать и запускать дополнительные модули (EXE, DLL, MSI), а также тайно делать скриншоты экрана жертвы и передавать их злоумышленникам. Этот набор возможностей превращает CapDoor из простого загрузчика в полноценный инструмент для удалённого доступа и сбора данных.

Особое внимание исследователей привлекла эволюция группировки. Ранее CapFix была известна в основном по атакам с использованием техники ClickFix, когда жертвам для разблокировки контента предлагалось решить капчу, что на самом деле запускало вредоносный код. В качестве приманки тогда использовались темы, связанные с криптовалютой или бронированием отелей. Об этом свидетельствует обнаруженный экспертами Positive Technologies в своём отчёте архив данных об активности группы. Однако в новых кампаниях акцент сместился на фишинг под государственные учреждения, а цели стали включать стратегически важные предприятия. Это может указывать на смену мотивации или на расширение спектра интересов группировки.

Для специалистов по безопасности инциденты с участием CapFix служат очередным напоминанием о важности комплексной защиты. Критически важно проводить регулярное обучение сотрудников для распознавания фишинговых атак, даже если они искусно замаскированы под внутренние документы. Технические меры должны включать не только периметровую защиту, но и механизмы контроля целостности приложений, способные обнаруживать аномалии в поведении легитимных процессов, такие как попытки несанкционированной загрузки DLL. Мониторинг сетевой активности на предмет подозрительных соединений, особенно с нестандартных поддоменов, также может помочь в раннем выявлении угрозы. Активность CapFix демонстрирует, что граница между финансово мотивированными группами и более опасными APT-игроками продолжает размываться, требуя от организаций повышенной бдительности и готовности к сложным многоэтапным атакам.

Индикаторы компрометации

IPv4

  • 85.192.49.81
  • 94.156.232.113

Domains

  • andreiushakov.ru
  • ddmmitriypetrovv.ru
  • leonidkalatov.ru
  • microsoftpathes.com
  • securityswindows.com
  • suportwindows.com
  • support-archiver.com
  • windowsextupdates.com
  • windowspatche.com

MD5

  • 01ceff1b07124f3f5ef59b69f1536c12
  • 0248a386ad08480e13d6a237866106be
  • 0830b900e53f57949f64c3148a9372aa
  • 13f55634a20fb315c6eb5891d751939d
  • 1855a44a5f41a14ffdb2360d24af837e
  • 186dcc5eaa80edde0f06c6433f28af74
  • 21b7f68129a7416247485dacaced9c6a
  • 24254fea4804740c56a045ab3dafd12a
  • 271a216dd51988d1089fe8ea72583af2
  • 2749d6fb0dac2e6edd915a9955913a2f
  • 2b6d255714456c7458477c827ab4c022
  • 2d829b88d84ad3fcbb2c219f3ccd2651
  • 31454b54bb98da824fad71bb78b291e1
  • 3683fc1f3771a3a6d0a281d593b31a9e
  • 39bb82f5449bff8f59887e1a58b48923
  • 39dae5d17f1f65d6eedfa2aabacedf61
  • 39f49e4aacd3d996fff336a72991376c
  • 3e9a1bf81857996e01951eacb538b986
  • 402fb1414ca002ad71e0db0140160670
  • 43e0c5e4132a8c07c493fc98ec103669
  • 4c4ee096311cade1967bc63bc4960337
  • 4e9769e7017288fa66ddcdf3f210518f
  • 4eac6a0d209e8356d23ac15d895b0837
  • 53fd213c0fd13d5470e08f06387c5775
  • 567dadcc2fde0b14ec13f0474951ee07
  • 58ce5c4f9d7ed8e15dbf89b55b25e806
  • 5ff63ae474cc333c6fbf99d2994a7abf
  • 611f7d616d712773aeeb79f8e00df57e
  • 61eca56a70ed642d45db6486b1047eea
  • 645e891c2ffa2de39e5bef18edab7a93
  • 6516d8f38ed427122e02ef1211f3f30d
  • 73dae3583a8dd4d82686178e2d3dd4f7
  • 754095ac7201e5771277a8bb028e8758
  • 7a9a8e290648a87aa63a514162a191ba
  • 7be211f645345a60bdfa2e7716c48de2
  • 8059a545041fdacd9d509e866fc38ff4
  • 82a5d37a41a26e1751d343df30738c45
  • 846ed42bdf579b71fa89b4d75fc19ecb
  • 863fe3349fba32bf64e04afe143decef
  • 86925f7a40d854847d54f7c1689975bf
  • 875f502189189a4a0da4a8547fffc05a
  • 9a178375e3f5f854db54b76f09f381c5
  • 9c274042f944b3d6676eadc6fb0df97d
  • a342407477757a2c4589528aec9583b8
  • a3ebb4bfdd7319027bed0c74f76807a9
  • a6486899b97312e09e945a2928a64173
  • a7f064bcf5aa2c9e46b07911d0b89288
  • a87f7eadfde66c49fb8722131e4a6d17
  • ab118b288ea71eab96fefe2572672a72
  • acfcfe845ea57c0796fcda422065ac05
  • ae88d9ffb74344fae3a527bf3eff6cc5
  • b0f704e3fcb62ab1379cce23c6dc590b
  • b4ccbd6921e17de44378cf5282aa3fbf
  • b983eac3fbf84f83c14c4ba6d21c0684
  • ba3cbc77191c40472540ad7669f62f0a
  • c08a48f3cb60c22bad08f1641a0b4b34
  • c13960ef230795c49f1e6e01d789149f
  • c30ab94242517d6b1b81e69590eabcf3
  • ca25a63fe45744597f3bac4dbe88af36
  • cf23b7cd8f4d6754be3790c2f4295c14
  • d10864e8a84ffb876772463f865ae289
  • dfac596d9a93660010702701665ec1e0
  • f2e769948f1d668d2eeb9e92bd697ed0
  • f59eb1493deddd6ab67d4a73f9268695
  • f816e4e64a6bacaa57a2724550569744
  • f9109ad322b6b34dca0eaa7f4a651f8b

SHA1

  • 069664bc9d245a971e96e309d85a640f4d30a002
  • 0ca24ca524b71ac34025d087fe76b909bc88411e
  • 0e767ab422a59a7d83d26992c334fe4cfdf6b74d
  • 0ebaaf4c735957dd7d749357d18af8fec12836bb
  • 13b7584df2f5176078f6b895d9dc07c0507f8813
  • 190016c1a1de5eea96a1cdcec9b05688d7ece95d
  • 1af74fdfbd7b01e29e32fc02f1021268730f91e4
  • 1f6df9177de2c5ceaaf861f6c4e92406bbef1182
  • 25a9dc35e65e35387030b96646dbf29222b31653
  • 29bd9f57bfff552b6d57e85cb3571a1ba7aa044d
  • 2bac12ddc98123efd2f2f8381e50e3a2f848c96f
  • 2d97c408c768ffee5defe73d9791af356f6d75c5
  • 2db32b4905f685aa6db4b4f8e0e0bf4e9f26422d
  • 2e87f3e74f2cb6c47af5d1bbb37738e18026e440
  • 2f341a7ef5bffd91765dfadff060fe01367e2464
  • 31a2cba478130d540ee2a1d4caa5bee77f7b39b2
  • 334928bdab48b2828d512e2a132ec4568ca80064
  • 39b5f33933c3659fc4a26bb037686c48f3983e99
  • 3dc80205c88054bed9904bf1ec407e39b48cf835
  • 433aec84d79d1a74e42950696b2eb235e75ad3f0
  • 45c25b1ba2be4be2e5220458c38498b2e78fedec
  • 4aa2a46a0fdccb7b5034ba3e5730245cd929c1aa
  • 4f954d292a6026cfd6af79bb5bf1113f682ed3e3
  • 505b3b54e80ad39885f6951f5c9d7bdcd4f44282
  • 532184154ad4dc1ee6a9aa3d7283f4300385c406
  • 537995378c224db9f3e26fb751159090207c70b2
  • 53c0946556c9fd5970a1ebe67e93a4b088564e42
  • 59387a49993275eb92bd065663aabf4174eb43ca
  • 60de184a444c2d32c1d06d1de09aded4b197fbe5
  • 623cb3d1700712489a5f58f613dea0696711f00f
  • 74cd4b95605cf1208b9da65ec36d32d9c4df164b
  • 76aa942057c892061074af50a9bda765c93b95da
  • 76dd2a6e6eafb87534dd859dc9e6c1453de81e36
  • 8269f481950764a3fd2a37939eb34decbd82ad35
  • 82bf6f20572706f86134d994c741692a9fc89115
  • 8e0f229bf1c453bc2590bfd7f30ff64122d01625
  • 955ae815537b4137d5aedaf89be8fa012fedc22f
  • 96ebee75a3808e70ef595ea6368ae0f337cb2057
  • a87068c4bf4bf7b1789ad178a9c7e156419eec3e
  • a89d8e4967bc3e7ae9d85433bf02df73f06d5989
  • ab8b325ad55070f8cf9b4b06b1e2e19f2753a5f9
  • adffc0ed690c7063d5658f18b70a07c27e8ced82
  • b15af714ba82b126e47906f086cace33bf976d1b
  • b1e7c1daf2a07414be1294367a71dab9310a71b0
  • b3a30c6f384d45a25fbcd150952f48c0a39c730e
  • b6bda06568d91ae0c65fabf4332eab2691547482
  • c2d170abdb1bb1bc590fa6aa975dab2cc9948426
  • c7f64e625851648ae244b8ed8c636672de81e93d
  • d32a9ad4815c2466f6159d0c6af00027ac5e018e
  • d54d3f0eac9a34e80082d1a092a407142e76f6c9
  • d7e92b1ed202e231eed091a657121de3209339ba
  • de630768ec509602b8ff3f4b4126c49de9c3b1a2
  • e3da20005be7881a3ba846454019af51e7834f30
  • e4da80af21b1f38658a5ff765cee9e4164f97cfa
  • e563a749477d7f903579d07a6dda731bd998329c
  • e596bfbe56bc870914775c463284a136218c1ba1
  • e72658ca5a0b74ad0c11967d730ac6ae428ef5f6
  • eaf9c7e692d70814fad0d60e1a4f98f9a3c86f1a
  • eb1cbe562b8f289943c418b62456d30b3b949b2d
  • f1b9975abc1ee71068f18fb0243a34c733a0dac2
  • f3aaf12a59e8f7f0b1e61e2df11d841752a3687c
  • fb224556401a8fb9cfc0fd31b0c9b525950c699f
  • fc85d9fc87f3b407a143ca331e5e5c1d24e5422d
  • fe522af5a4ae5329f7c78e7263a945505629c70f
  • fe63dc492c9002fe96fc953b5d3654fbc94fb40e
  • fe7db49e89b5a7e38bd0bd1ec2f933d32b690305

SHA256

  • 0274bb066f83a7391cce180cc65fc793b9b08b2b649ba27f4e1bd1ce9ea3b0f6
  • 06f280ff1c6db4aa89543b3431e3d99b736ff7aa4f17385e4688ed0e1d2dc54c
  • 07b60b8b8d4e64736c8683e95095a24050a5f235a629185e423cd6c3a64cf734
  • 09af303663fb4858e1d22d01cafd37d5a9da889a0e5ad1319c7dc9ce1302aac6
  • 11812858fa8a8594e6980b5f768a072f22bbc1b2dbe7122965bd73ef6e6dcd55
  • 1730fe62f951e88088964a65fd4faaace478d1019636eafe6e2b1d6a8c5ad7d2
  • 1ff142e4a553c99857b0387366d5ba6c61267286ff327bead727751006c15edc
  • 20a255389dd9f9f27d18f18826380bd2ba601459f06cef838a9e65ae1fe88424
  • 217b9b15b92b4cc42c253a24076499596dbbb81267365f72ffb91e7858f74f07
  • 23f693029d8e00999a1c0e68d72884fd55f874582780afb94dbb1d3f8fb07f38
  • 24f15e65ad33b12628cf962e43ee5e2a63248d5294c0d8ba357d0a99b195a6f6
  • 296333066462e036aa27e2b15300f88099564ac7737bd99af585bfcb4f6cd438
  • 2b34e63ade5f8a7828bead6442c2e92c4b2c57a7ed4bc38d4723ca934f972e76
  • 3cf47863442e54eb2a7fa918e4ebe690dab58553f24a61039b121107f8b80aba
  • 43b8b4f1ed49e815522538902d125d5d0bd17b9a4d525acd8e1ec42130ed23c7
  • 4eaef8cdf433989424e0f614e2660c00418fbe48d8854c31ec97faa3e759653d
  • 5063ca90b8b3e14d78a8900fc724bbcea17beab71b760fbb3d3dce3aa84c408d
  • 52bb614492e34f9a1bc78e816450e2a04e35020eafd9d653e52a04244bf19015
  • 54d02e326f8143975ca4fb7574d4dc771dfb81f3cebc31365f142e1d6e4329fd
  • 5623c6f436333e30604266d2cde0bb9c23e45b0b4b6c35e533725eac6e703357
  • 572fa4d41d1d26e76e3247783847c1cd8904e7a2b99c0a3bce7d5f2f3f396512
  • 5a928022c67a4d898d94a3223ed348039d69b84afa4b20d926ebbaee98846436
  • 5d4da1eefe67fadad54c17734bad270c2c3d483531b26857dece92c154b5996f
  • 63f972a90d68f3d8e646ad3f313abb4640a3a803490772c9d53ded240337b720
  • 650d2cee3e0f0bcdc1c78d816befdccc4bbfd801face704fb648dd7dabcb08ce
  • 7199744cf477b9ad2ddb414e454419e83215690fbca50aa9d02967873ee45d94
  • 73620ad683e7f168a3bc7226cddc8c1daebc80cab5f51c5e412f53a79846c8ee
  • 752426fc4b44e8049ea505722ff9ebbe13503f55d12ab479e905360ea3efc27c
  • 7749c372b6435441f1228a99a4f3eac54eb4d2f85a4ced16809539b30114addf
  • 7e2a07932ff652b46a7183684600f5a7de59c967801fc4915aacc3342745da35
  • 81b8b6eed1298b826b1033951b9dd644d3923da47bfe6cb32a9b23383c4dd252
  • 8228eaa838074256cdfe167896d8355eb990ae584c2e63e7260bd2c11fa709ed
  • 89a192f5cb085753571be02d764e521e5e314686d5ec26675e760689929b3acf
  • 8b7ae90d49da4675a2e682867b7bf6bbce3ce24f5c2437912d1f57e4100ff4e2
  • 9515f699f29c4e584446106492fc99c463cc051522116cf61f52e87e2482c3cc
  • 98153ac06f5570ee6b94ed63c0eecda41b54e6e36a3a9f33ab466e5b2d421a4a
  • 9a743cf925cd056eed0c0c2f7006e44957e2283e4f7440e70cb518668c1d84a9
  • 9b90f1dbe7c3e07f356fb13e9c529bb3b8cff8d4389d8dcb9a298c91aed33e0a
  • 9da820555b4c39288035dac1802a981b8a202b9e97532fd15e0ccbc72bbc385c
  • 9db2fc33013beb4ee6e772d9b869d260ed7bc09d48eea2564762235fb539a8ab
  • 9e771f0af9524a41d0bf78f0ba930e72580a45472939805c077f3f169b70c748
  • a1e3692107d9d092e45edf08166a2d31d015e97261c3e837234cd78684fbef90
  • a257dbba14f7e4b2918fd1bc492f756ce0200efe272e13cf19dca288dbb53bc0
  • a9b8c814498fbc4d5b939c5fa8b76bb2197819e0fc4cd4aeaac952ea85e5b373
  • acdb662d4554610b6ff76d2f30ded1e49d561cc17a7cacb9679a4c2d11ef2159
  • b2822631ae3eb3bef280d98b1a3bba80bfb66e9f891995fdd76269629f70a975
  • b630139c6055ead61bf1f8576424b330a3171a410a99e99a33f60070655b8e1e
  • bb7ce7efcb4cb688b9e60b4cf577dd159ccead99ce737944e088fe69398946a2
  • bccb06bdd29f52c3c5ae8123cdc4dd86864f1b1d4fc2adb5e0375ad43aeba5b0
  • bfdfd53789dcf8645b68b12c15440bfc09babec1e6c7029e30e30833f9f64c23
  • c043261f7d6c9ee4bf61ef929c0bcee1037aebff35852ca287ce1bec42aad03c
  • c6532ee17f478aac68d96393fe4f210193654fb643858d3f019505dea3a1e910
  • cb5edf2717e94c0be4a0ea2aebb3ab3b505bff223d5a86c6df2b43c34c29ec8e
  • cb8053c819c587f3e81b0201d27d686ccdd3ca042cb4c2ed50b84e7f2ee2232f
  • d35b2e18432be73d00c51b15350a7f910cf5daa2cd616b675c81be85d4a502d3
  • d67d1628ff5ea924c25c8056446a8143e1171fab7e30dddb24aca3255dad8817
  • d6b61efa44b487831c4b731dfb6cb9be49e599669bab1ac9c56e4098520a6477
  • e0b2e6c014c3e56612a097833215d0cd1754c3b8898b6794badfb9e0cf2daac6
  • e0b86533f63e58fd14ed95130026f4f7ca8256536300d7a21fa6df8f5f860c5e
  • e84fee7880afe779536b9be64d7ad6333c56604670293667fef3723e36a52c39
  • ee8d1e5cbfdc42c7776bf174dc031d4547413767667c062d39c976d76d81ebcc
  • f50f6642ba1f0d633a98a7873f1b837d907e0c7a0cdde2961217c501a7461aee
  • fa65373e362cf1719f5d6b88353b2c45d8931e8c4fde61bfe25122e192938057
  • fb3db58c3d175182be602d79add6327e0dc0fa7d66688b4e099b9e67d9af80fa
  • fc5c46659cce0abd73bdeca857331f284473e0af69ce7fd1a683bf2ac3c2439c
  • fd15a1f6fef05d7cd7249edb4ce4fe052400de28a2554c54bc3bc89a3d588749
Комментарии: 0
Похожие записи
0
17.11.2025
Индикаторы компрометации

Кибергруппа CapFIX атакует российские компании через фишинговые рассылки с бэкдором CapDoor

APT
Эксперты компании F6 обнаружили новую кибератаку на российские компании из финансового сектора и ритейла. Злоумышленники, получившие название CapFIX, используют изощренные фишинговые рассылки, маскируясь
0
30.04.2025
Индикаторы компрометации

Маштабная кампания по заражению компьютеров с использованием Cobalt Strike и Minhook DLL.

security
Компания Sophos отслеживала атаку на своих клиентов в конце 2023 года и в начале 2024 года, выявив использование библиотеки Minhook DLL для обхода вызовов Windows API и появление Cobalt Strike как полезной нагрузки.
0
18.08.2025
Индикаторы компрометации

Эволюция бэкдора PipeMagic: от атак RansomExx до эксплуатации уязвимости CVE-2025-29824

information security
В апреле 2025 года Microsoft выпустила патчи для 121 уязвимости в своих продуктах, но лишь одна из них - CVE-2025-29824 - активно эксплуатировалась злоумышленниками на момент закрытия.