Киберспециалисты фиксируют серию скоординированных фишинговых и вредоносных кампаний против российских компаний, связанных с авиастроением и обороной. Источники угроз, с высокой долей уверенности, связывают с хактивистами, поддерживающими Украину.
Описание
С июня по сентябрь 2025 года служба киберразведки Intrinsec зафиксировала резкий рост числа целевых фишинговых кампаний против российской аэрокосмической промышленности. События развиваются на фоне череды успешных компрометаций объектов этого сектора, ответственность за которые брали на себя проклаанские хактивистские группировки.
Одним из последних инцидентов стал взлом сайта аэропорта Пулково в Санкт-Петербурге 19 сентября. Представители аэропорта подтвердили факт атаки и проблемы в работе веб-ресурса. За день до этого, 18 сентября, у регионального перевозчика «КрасАвия» произошел сбой цифровых сервисов, приведший к остановке продажи билетов онлайн. Хотя компания официально не признала кибератаку, на канале «Borus» в Telegram появилось изображение дефейса (несанкционированного изменения) главной страницы сайта авиакомпании с провокационной подписью.
Еще раньше, в июле, коалиция групп Silent Crow и «Белорусские киберпартизаны» провела масштабную атаку на «Аэрофлот». В результате были отменены десятки рейсов, а хакеры заявили о выводе из строя тысяч серверов и хищении огромного объема данных. Активность демонстрируют и другие группы, такие как Hdr0, которая в начале сентября заявила о внедрении программ-вымогателей в сеть Пермского авиационного технического колледжа.
По данным аналитиков, недавние кампании используют смешанные методы. Угрозы включают фишинговые страницы для сбора учетных данных, которые размещаются на легитимных платформах для хостинга, таких как IPFS, Vercel, а также в открытых хранилищах S3 от Contabo и Cloudflare. Параллельно ведутся кампании по распространению вредоносного программного обеспечения. Например, группа Head Mare продолжает активно использовать скомпрометированные почтовые серверы российских компаний для рассылки писем с вредоносными вложениями.
Яркой иллюстрацией тактики стал инцидент с аэропортом Пулково. В тот же день, когда произошел взлом сайта, с его почтового сервера было разослано письмо десяткам российских организаций. В сообщении, маскирующемся под коммерческое предложение для госучреждений, получателей призывали открыть прикрепленный PDF-документ. Аналитики полагают, что это была попытка быстро провести фишинговую атаку, пока ИТ-службы аэропорта не заблокировали доступ злоумышленникам к серверам.
Другой целью стала компания «Динамика-Авия», разрабатывающая программное обеспечение и тренажеры для российских истребителей и дронов. Сотрудники получили фишинговое письмо, имитирующее внутреннее уведомление о подозрительной активности в учетной записи. Ссылка в письме вела на фишинговую страницу, размещенную на легитимном субдомене сервиса Contabo Object Storage, что затрудняет ее блокировку.
Большинство компаний-мишеней, согласно отчету, находятся под западными санкциями за материальную поддержку российской армии. Аналитики также отмечают косвенное взаимодействие или толерантность со стороны некоторых украинских спецслужб по отношению к хактивистским группам, чьи цели в данном контексте совпадают. В частности, успешные операции хактивистов публично освещались украинскими оборонными ведомствами.
Эксперты подчеркивают, что описанные кампании не являются случайными. Они представляют собой скоординированную серию атак, демонстрирующих уязвимость критической инфраструктуры. Использование легитимных веб-сервисов для размещения вредоносного контента и компрометация корпоративных почтовых серверов для дальнейших атак усложняют их обнаружение и блокировку.
Индикаторы компрометации
IPv4
- 168.100.10.73
- 195.19.93.166
- 212.233.118.102
- 217.19.4.195
- 31.59.41.149
- 5.178.96.82
- 88.84.192.226
- 91.211.125.98
Domains
- 4ad74aab.cfd
- atelier-oiseaubleu.net
- cdek.rest
- micaysdole.top
- mx.rt-neo.ru
- post.orenklip.ru
- pwrpal.app
Domain Port Combinations
- fteamez7iurs01.duckdns.org:12760
SHA256
- 18d9902bb30993d5d37052a684cb7da2a9a4fa2d203bbf934fd2e18510ad07e2
- 36822a44d97f9db5a95f2b3735f0e74cec864b8d3d99ddf52c19a4ffa0110bb5
- 3d9d1376f2d2b4a284697eba5eccb9f1537af15621a7fc8cb439fc0c69a61971
- 414c0f0f4e651a299f17e6e856f57d9cc09225dadf4b3f09c951e00e3a04b283
- 4e455666ae9ed3be2721a1fc49b6aff8152ba6fc6f7f8513428c33447225a3ca
- 537c632851ba7bda9927062c592ec70eeafa3b089cafee539e5baff0d2e49e6f
- 61cdb40af4a43872d4c81e21e4ab18794cf7e55e10bfc56eee454bbe5184d61f
- 73841bd4b1aa367f314bfb86fe15f533d4b8566249092c05d4b0d6a772f69986
- d9eadcbab4703094481ef388f4f639223d66ffa42ebd4da1037aa79b5bf87c4a
- e0456e9652eac675cb97b2deb155a8dc97c23742249d1d5340e947fda7f9920b
