Изображение: recraft
Группы хакеров, предположительно связанные с Россией, провели серию кибератак на украинские организации, используя скрытную тактику, известную как Living off the Land (жизнь вне земли, LotL), которая предполагает использование штатных системных инструментов и легитимного софта для незаметного присутствия в сети. Такой подход минимизирует цифровые следы и усложняет обнаружение вторжений.
Согласно совместному аналитическому отчёту Symantec (Broadcom) и Carbon Black Threat Hunter, в июне–августе 2025 года злоумышленники атаковали как минимум две цели в Украине — крупную организацию, оказывающую бизнес-услуги, и один из органов местного самоуправления. В обоих случаях использовались техники длительного скрытного присутствия и инструменты двойного назначения, позволяющие обойти традиционные средства защиты.
По информации, изложенной в документе, опубликованном ресурсом The Hacker News, атака на коммерческую структуру началась с развертывания веб-шеллов на уязвимых публичных серверах. Специалисты считают, что злоумышленники воспользовались неисправленными уязвимостями для загрузки инструмента LocalOlive.
Этот веб-шелл ранее использовался подгруппой, связанной с российской хакерской группировкой Sandworm, в рамках длительной кампании под кодовым названием BadPilot. LocalOlive служит средством доставки более тяжёлых компонентов — таких как Chisel, plink и rsockstun, которые обеспечивают удалённое управление и туннелирование трафика.
Первые признаки активности зафиксированы 27 июня 2025 года. Установив контроль над сервером, атакующие запустили PowerShell-команды, чтобы отключить антивирусную защиту Microsoft Defender для своей загрузки и запланировали регулярное создание дампов оперативной памяти. Это позволяло получать информацию о состоянии системы и обходить обнаружение вредоносной активности.
Также исследователи отметили, что в процессе атаки был задействован исполняемый файл winbox64.exe — его же ранее фиксировал украинский CERT-UA весной 2024 года в связи с атаками Sandworm на энергетические и коммунальные предприятия. Несмотря на это совпадение, в отчёте Symantec подчёркивается, что прямых доказательств участия Sandworm в данной кампании обнаружено не было, но происхождение атак оценивается как «вероятно российское».
В рамках наблюдения специалисты отметили использование множественных бэкдоров на PowerShell и подозрительных исполняемых файлов, которые, по предварительным признакам, выполняют вредоносные функции. При этом ни один из этих компонентов не был извлечён для глубокого анализа, что также подчёркивает высокий уровень маскировки и профессионализма хакеров.
Техника LotL остаётся одной из наиболее эффективных в арсенале кибершпионажа: злоумышленники используют встроенные в Windows утилиты, не требующие загрузки стороннего кода, что позволяет им длительно присутствовать в сети, собирать данные и управлять системами без использования традиционных вирусов. Это делает атаки трудноотслеживаемыми для систем мониторинга и требует глубокой экспертной оценки для обнаружения.
Оригинал публикации на сайте CISOCLUB: ""Русских хакеров" обвинили в атаках на украинские организации с маскировкой под легитимных пользователей".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.