Группа 3AM расширяет атаки: еженедельный обзор угроз выявил рост активности вымогателей и новые критические уязвимости

Среди новых сигнатур фида выделен PackClient RAT - троян удаленного доступа, ориентированный на операционную систему Windows. Вредоносная программа проникает на устройство через открытие вредоносных вложений или запуск замаскированных файлов. После исполнения PackClient RAT устанавливает себя в системе, обеспечивает закрепление и соединяется с сервером управления (C2). Злоумышленник получает полный удаленный доступ к инфицированному хосту и может выполнять произвольные команды, что ведет к краже данных, слежке и компрометации других устройств в сети. Сигнатура получила классификацию Trojan-activity и присвоена тактике Command-and-Control с техникой T1071.001 (протокол прикладного уровня: веб-протоколы). Кроме того, для закрепления и обфускации используются техники T1059.003 (интерпретатор команд: Windows Command Shell) и T1027.002 (запаковка вредоносных файлов).

В отчете также представлен каталог известных эксплуатируемых уязвимостей за вторую неделю июня. Семь уязвимостей получили высокие оценки CVSS. Наиболее критичная CVE-2026-10520 в Ivanti Sentry имеет оценку 10,0 - это неаутентифицированное выполнение команд с правами root через внедрение команд. Уязвимость затрагивает версии вплоть до 10.7.0; исправления выпущены в версиях 10.5.2, 10.6.2 и 10.7.1. Другая опасная проблема CVE-2026-35273 в Oracle PeopleSoft Enterprise PeopleTools (CVSS 9,8) позволяет удаленному неаутентифицированному злоумышленнику выполнить код на системе. Версии 8.61 и 8.62 уязвимы, но патч пока неизвестен. Высокий рейтинг получила CVE-2026-11645 в Google Chromium V8 (CVSS 8,8) - выполнение кода при посещении веб-страницы с особым HTML-кодом; исправление включено в версию 149.0.7827.103. Среди других уязвимостей - эскалация привилегий в Cisco Catalyst SD-WAN Manager (CVE-2026-20245, CVSS 7,8), внедрение команд в BerriAI LiteLLM (CVE-2026-42271, CVSS 8,8), обход аутентификации в Check Point Security Gateway (CVE-2026-50751, CVSS 9,3) и проблема неполного сравнения в Arista EOS (CVE-2026-7473, CVSS 5,8). Все перечисленные уязвимости активно используются в атаках, и пользователям настоятельно рекомендуется установить доступные обновления.

Центральное место в отчете занимает анализ группы вымогателей 3AM. Эта Rust-based программа-вымогатель впервые задокументирована в сентябре 2023 года. Название происходит от файла RECOVER-FILES.txt, в котором упоминается "3 am, время мистики", и расширения .threeamtime, присваиваемого зашифрованным файлам. Операторы группы действуют в рамках русскоязычной экосистемы и, по оценкам, связаны с бывшим синдикатом Conti, в частности с командой Team 2, которая стала Royal и затем BlackSuit. Подтверждением служат пересечения в каналах связи, бэкенд-инфраструктуре и тактиках.

В отчетном периоде 3AM опубликовала на своем утечечном сайте 12 жертв единым списком 12 июня 2026 года. Атаки затронули девять стран, включая США, Китай, Индию и Великобританию. Наиболее пострадавшие отрасли - производство, сельское хозяйство, технологии, государственный сектор и здравоохранение. В целом за неделю лидером по числу атакованных стран стала группа Qilin (25 стран, 14,29%), за ней следуют The Gentlemen (22 страны, 12,57%) и Lockbit5 (17 стран, 9,71%). Однако именно 3AM демонстрирует наиболее сложную цепочку атаки, подробно описанную в отчете.

Как показал исследованный инцидент первой четверти 2025 года, операторы 3AM применяют комбинированную социальную инженерию. Сначала жертве отправляют 24 нежелательных электронных письма в течение трех минут - это создает панику и служит предлогом для последующего звонка. Затем злоумышленник звонит, подделывая номер внутренней IT-поддержки организации, и убеждает сотрудника предоставить удаленный доступ через Microsoft Quick Assist. После получения контроля оператор запускает виртуальную машину QEMU с предустановленным бэкдором QDoor, работающим вне основной операционной системы и потому невидимым для средств защиты конечных точек.

Далее следует классический сценарий: сбор информации о домене, компрометация учетной записи администратора, перемещение по сети через RDP и WMIC, отключение многофакторной аутентификации (Duo) и антивирусных решений, остановка служб резервного копирования. Затем происходит эксфильтрация данных (в документированном случае - около 868 ГБ через GoodSync в облачное хранилище Backblaze) и шифрование файлов с использованием параметра -s для частичного шифрования. Время пребывания в сети до шифрования составило девять дней. После шифрования на каждый каталог помещается записка RECOVER-FILES.txt, а файлы получают расширение .threeamtime.

Общая статистика жертв программ-вымогателей за неделю показывает, что США остаются основной мишенью (75 жертв, 42,86%), за ними следуют Китай (10 жертв), Индия (8), Великобритания (7). Среди отраслей лидирует производство (29 жертв, 16,57%), бизнес-услуги (26) и розничная торговля (19). Согласно данным Red Piranha, в список индикаторов компрометации 3AM входят IP-адреса C2-серверов (88.118.167[.]239:443, 172.86.121[.]134), имена файлов (Update_excic.acow2, d.bat) и команды (wbadmin.exe delete systemstatebackup, vssadmin). Рекомендуемые меры защиты включают строгую настройку фильтрации электронной почты для обнаружения массовой рассылки, ограничение использования Microsoft Quick Assist и других инструментов удаленного доступа, блокировку неизвестных виртуальных машин и применение многофакторной аутентификации с устойчивостью к удалению.

Активность группы 3AM в сочетании с обновлениями сигнатур PackClient RAT и появлением новых критических уязвимостей подчеркивает сохраняющуюся высокую угрозу со стороны целевых вымогателей и троянов удаленного доступа. Организациям необходимо уделять первостепенное внимание контролю доступа, обучению персонала распознаванию социальной инженерии и своевременной установке обновлений безопасности.

IPv4

• 172.86.121.134
• 185.202.0.111
• 88.118.167.239

IPv4 Port Combinations

• 88.118.167.239:443

Domains

• threeam7fj33rv5twe5ll7gcrp3kkyyt6ez5stssixnuwh4v3csxdwqd.onion
• threeamkelxicjsaf2czjyz2lc4q3ngqkxhhlexyfcp2o6raw4rphyad.onion