Кибершпионаж: фишинг с «победным» PDF-документом нацелен на госструктуры России

Атака начинается с получения целевыми сотрудниками электронного письма, вложение которого содержит архивный файл с расширением «.rar». Внутри архива злоумышленники размещают два объекта. Первый - файл-приманка с названием «Aircrafts Pobeda.pdf», который, вероятно, имитирует легитимный документ, например, связанный с авиапарком или технической документацией. Второй и ключевой компонент - вредоносный Batch-скрипт (пакетный файл для Windows), замаскированный под служебный файл с именем «scan26_08_2025.bat».

По всей видимости, социальная инженерия в этой схеме рассчитана на любопытство или профессиональный интерес сотрудника к тематике авиации. После открытия архива и двойного клика по файлу «scan26_08_2025.bat» запускается вредоносная последовательность команд. Основная цель скрипта - обеспечить злоумышленникам несанкционированный доступ к зараженной компьютерной системе. Конкретный механизм действия может варьироваться. Обычно такие скрипты используются для скрытой загрузки дополнительного, более сложного вредоносного ПО (payload, полезная нагрузка) с удаленного сервера либо для непосредственного создания брешей в системе безопасности.

Данная тактика напрямую соотносится с методами, описанными в матрице MITRE ATT&CK, в частности, с техниками начального доступа через фишинг и выполнения команд через интерпретаторы команд. Использование архивов и скриптов - распространенный способ обхода базовых систем фильтрации электронной почты, которые чаще блокируют исполняемые файлы с расширениями вроде «.exe».

Целенаправленный характер атак на государственные структуры и объекты КИИ указывает на высокую вероятность связи угрозы с деятельностью APT-групп (Advanced Persistent Threat, устойчивая продвинутая угроза). Эти группы, часто имеющие государственную или коммерческую поддержку, отличаются долгосрочным планированием, использованием уникальных инструментов и нацеленностью на кражу конфиденциальной информации или шпионаж. Критическая информационная инфраструктура, включающая энергетику, транспорт, связь и финансы, представляет для них стратегический интерес.

Для защиты от подобных угроз специалисты рекомендуют организациям предпринимать комплексные меры. Во-первых, необходимо усиливать осведомленность сотрудников. Регулярные тренинги по киберграмотности должны учить распознавать фишинговые письма, проверять отправителей и, что критически важно, никогда не запускать непроверенные исполняемые файлы или скрипты из вложений. Во-вторых, важно внедрять технические средства контроля. Решения класса IDS/IPS (системы обнаружения и предотвращения вторжений) и современные антивирусные продукты с эвристическим анализом могут помочь выявить подозрительную активность. Кроме того, ограничение прав пользователей на выполнение скриптов и использование принципа наименьших привилегий значительно снижают потенциальный ущерб.

В заключение, текущая кампания демонстрирует, что, несмотря на развитие сложных вредоносных программ, классические методы социальной инженерии в сочетании с простыми скриптами остаются эффективным оружием в арсенале кибершпионов. Бдительность персонала и многоуровневая защита информационных систем по-прежнему являются ключевыми элементами обороны от таких целенаправленных атак. Органам власти и компаниям КИИ следует рассматривать подобные инциденты как прямое указание на необходимость аудита своих защитных механизмов и процедур реагирования.

IPv4

• 168.100.10.73

URLs

• http://168.100.10.73/dis.ps1
• http://168.100.10.73:5000/
• http://168.100.10.73:5000/get-commands
• http://168.100.10.73:5000/uploads
• https://v2873044.hosted-by-vdsina.ru/get.php?email=info@mfa.gov.eg&document=scan26_08_2025.zip

Emails

• pobeda-aero@inbox.ru

SHA256

• 10561013b7310e2b51d848438a8c1251d2afab5e46c7a8528668dfbe015bd6d4
• 18d9902bb30993d5d37052a684cb7da2a9a4fa2d203bbf934fd2e18510ad07e2
• 537c632851ba7bda9927062c592ec70eeafa3b089cafee539e5baff0d2e49e6f
• 73841bd4b1aa367f314bfb86fe15f533d4b8566249092c05d4b0d6a772f69986