«Киберпартизаны» атакуют критическую инфраструктуру России с помощью бэкдора и Telegram

Группировка использует два основных инструмента. Первый - это бэкдор под названием Vasilek. Данное вредоносное ПО после проникновения в систему обеспечивает злоумышленникам постоянный доступ. Вторым инструментом является адаптированная версия легитимного фреймворка для тестирования на проникновение Cobalt Strike. Однако в руках хакеров он превращается в мощный фреймворк постэксплуатации, позволяющий угонять сессии, перемещаться по сети и выполнять произвольные вредоносные нагрузки.

Ключевой инновацией в этой атаке стал механизм взаимодействия с оператором. Вредоносные программы настроены на отправку API-запросов к серверам Telegram. Через этот популярный мессенджер злоумышленники получают возможность удалённо администрировать скомпрометированные системы, отдавая команды и загружая дополнительный вредоносный код. Этот метод позволяет обходить традиционные средства защиты, так как трафик к доверенному сервису часто не вызывает подозрений у систем обнаружения вторжений.

Исследователи полагают, что конечной целью атак может быть как шпионаж, так и подготовка к деструктивным действиям. Получив долговременное присутствие в сетях организаций критической инфраструктуры, злоумышленники могут долго собирать конфиденциальные данные. Впоследствии они могут использовать этот доступ для запуска атак типа ransomware или для прямого саботажа работы систем. Подобная тактика соответствует методам, описанным в матрице MITRE ATT&CK, особенно техникам установления постоянного доступа и использования легитимных веб-сервисов для командования.

Использование Telegram в качестве канала C2 представляет собой тревожную тенденцию. Этот подход значительно усложняет задачу для специалистов по безопасности и SOC. Блокировка трафика к глобальным платформам часто невозможна для организаций, чья работа зависит от коммуникаций. Следовательно, защита должна смещаться в сторону поведенческого анализа и обнаружения аномалий в работе приложений.

Эксперты рекомендуют организациям, особенно из сферы КИИ, усилить мониторинг сетевой активности, исходящей к внешним сервисам. Необходимо тщательно проверять нестандартное использование API популярных платформ. Кроме того, критически важно своевременно обновлять программное обеспечение и проводить аудиты прав доступа для минимизации поверхности атаки. Регулярное обучение сотрудников методам социальной инженерии также остаётся одной из ключевых мер защиты, поскольку именно фишинговые письма часто становятся первоначальным вектором заражения.

Активность группировки «Киберпартизаны» демонстрирует растущую изощрённость угроз для государственных и критических структур. Адаптация злоумышленниками легальных инструментов и публичных сервисов требует от защитников более комплексного и проактивного подхода к кибербезопасности. Ситуация подчёркивает важность обмена информацией об угрозах между компаниями и государственными CERT для оперативного противодействия подобным кампаниям.

Domains

• *.a2h3bi0.partspros.org
• *.vvv392pu0.rossmoor.org
• a2h3bi0.partspros.org
• fjh33vgad02t.okkgb.com
• jrevk8g2o2ekbhz.okkgb.com
• kdn.cdnkav.vip
• okkgb.com
• partspros.org
• vvv392pu0.rossmoor.org

SHA256

• 0f1c2e138027643c874ff0c2041d387b74e6d1dcc82a9f46ad443a0a23a7adbd
• 2ad4f0e20a48174c47d0b7e5f8ef152ed1299b8b67530da0648dad3e94e48f7c
• 5c897d0bde02329a71255d724d3132655b1241d455a00bd9b2b758071800e1d2
• aec91daea356dccf2bf0d63a81830c5113eb90d97919c4f6554ece431563d79d
• d62b5684d501d0a5b255f19ba3d44f6b75f1005117d8b2c6aefc3f6d2b862610