5131 подписчик

Cobalt Strike снова в деле: как хакеры атакуют российские компании через GitHub и соцсети

8 августа 20258 авг 2025

2 мин

Киберпреступники вновь активизировались, используя вредоносный инструмент Cobalt Strike Beacon для атак на российские организации. В этот раз злоумышленники размещают зашифрованный код на GitHub и в социальных сетях, маскируя его под легитимные файлы. Разберёмся, как работает эта схема и как защититься от угрозы. Первые подобные атаки зафиксировали во второй половине 2024 года — тогда пострадали компании из России, Китая, Японии, Малайзии и Перу. К 2025 году активность снизилась, но не исчезла полностью. В июле эксперты обнаружили новые вредоносные файлы, нацеленные исключительно на российский бизнес, особенно на предприятия среднего и крупного масштаба. Атака начинается с поддельных писем, которые якобы отправлены от имени крупных компаний (чаще всего — из нефтегазовой сферы). Злоумышленники предлагают жертвам ознакомиться с «важными документами», прикрепляя архив с файлами. В архиве — ложные PDF-документы с требованиями к сотрудничеству. Среди них скрыты вредоносные EXE и DLL-файлы,

Оглавление

1. Как началась новая волна атак?
2. Как работает схема обмана?
3. Как вредоносное ПО обходит защиту?

Киберпреступники вновь активизировались, используя вредоносный инструмент Cobalt Strike Beacon для атак на российские организации. В этот раз злоумышленники размещают зашифрованный код на GitHub и в социальных сетях, маскируя его под легитимные файлы. Разберёмся, как работает эта схема и как защититься от угрозы.

1. Как началась новая волна атак?

Первые подобные атаки зафиксировали во второй половине 2024 года — тогда пострадали компании из России, Китая, Японии, Малайзии и Перу. К 2025 году активность снизилась, но не исчезла полностью. В июле эксперты обнаружили новые вредоносные файлы, нацеленные исключительно на российский бизнес, особенно на предприятия среднего и крупного масштаба.

2. Как работает схема обмана?

Атака начинается с поддельных писем, которые якобы отправлены от имени крупных компаний (чаще всего — из нефтегазовой сферы). Злоумышленники предлагают жертвам ознакомиться с «важными документами», прикрепляя архив с файлами.

В архиве — ложные PDF-документы с требованиями к сотрудничеству.

Среди них скрыты вредоносные EXE и DLL-файлы, которые запускают заражение.

3. Как вредоносное ПО обходит защиту?

Чтобы вредоносный код сработал, преступники используют два основных метода:

Подмена DLL — замена легитимных библиотек на вредоносные.

Использование утилиты для отчётов о сбоях — изначально безопасный инструмент разработчиков перенаправляется на запуск вредоносного кода.

4. Где хранится вредоносный код?

После запуска зловред загружает основной модуль из зашифрованных данных, размещённых на популярных платформах:

GitHub (в репозиториях и профилях)

Microsoft Learn Challenge

Quora

Российские соцсети

Все эти аккаунты были специально созданы для атак.

5. Чем опасен Cobalt Strike Beacon?

После успешного внедрения на устройство жертвы запускается Cobalt Strike Beacon — инструмент, который позволяет злоумышленникам:

Красть конфиденциальные данные

Управлять системой удалённо

Распространять вредоносное ПО внутри сети

6. Как защитить компанию от атак?

Специалисты рекомендуют:

Установить защитное ПО для почтовых серверов, чтобы блокировать фишинговые письма.

Обучать сотрудников распознавать поддельные письма и подозрительные вложения.

Внедрить комплексную защиту корпоративных устройств, способную обнаруживать атаки на ранних стадиях.

Вывод

Киберпреступники продолжают совершенствовать методы атак, используя легитимные платформы для распространения вредоносного кода. Компаниям важно усиливать защиту и обучать сотрудников, чтобы избежать потерь данных и финансового ущерба.

Безопасность начинается с профилактики.