Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Как SkyCloak взламывает оборонные сети

4
2 мин
Изображение: recraft ИБ-эксперты из Seqrite Labs и Cyble зафиксировали масштабную целевую кибероперацию, получившую название Operation SkyCloak. Кампания направлена на оборонные предприятия России и Беларуси и использует многоступенчатую схему заражения с глубокой маскировкой, опираясь на механизмы OpenSSH и скрытую сетевую инфраструктуру Tor, усиленную протоколом obfs4 для сокрытия трафика. По данным специалистов, атака началась осенью 2025 года и распространяется через фишинговые письма, оформленные под видом официальных военных документов. Рассылки содержат ZIP-архивы, в которых скрыт LNK-файл и дополнительный вложенный архив. Открытие ярлыка активирует цепочку PowerShell-команд, запускающих загрузку и установку вредоносных компонентов. При этом сценарий тщательно проверяет, не запущен ли он в изолированной исследовательской среде — анализируется количество ярлыков и число процессов в системе. Если условия не соответствуют заданным порогам, выполнение прекращается. В случае успешной

Изображение: recraft

ИБ-эксперты из Seqrite Labs и Cyble зафиксировали масштабную целевую кибероперацию, получившую название Operation SkyCloak. Кампания направлена на оборонные предприятия России и Беларуси и использует многоступенчатую схему заражения с глубокой маскировкой, опираясь на механизмы OpenSSH и скрытую сетевую инфраструктуру Tor, усиленную протоколом obfs4 для сокрытия трафика.

По данным специалистов, атака началась осенью 2025 года и распространяется через фишинговые письма, оформленные под видом официальных военных документов.

Рассылки содержат ZIP-архивы, в которых скрыт LNK-файл и дополнительный вложенный архив. Открытие ярлыка активирует цепочку PowerShell-команд, запускающих загрузку и установку вредоносных компонентов. При этом сценарий тщательно проверяет, не запущен ли он в изолированной исследовательской среде — анализируется количество ярлыков и число процессов в системе. Если условия не соответствуют заданным порогам, выполнение прекращается.

В случае успешной активации вредонос загружает поддельный PDF-документ и параллельно создаёт системную задачу с именем githubdesktopMaintenance.

Эта задача срабатывает ежедневно после входа пользователя и запускает модифицированный экземпляр sshd.exe — компонент OpenSSH для Windows, замаскированный под файл githubdesktop.exe и размещённый в каталоге logicpro. Через него обеспечивается скрытый SSH-доступ, строго ограниченный заранее заданными ключами.

Дополнительный компонент, изменённая сборка клиента Tor под именем pinterest.exe, активируется по расписанию и создаёт скрытую службу, устанавливающую выход на onion-адрес атакующих через защищённый канал obfs4. Это позволяет злоумышленникам обойти классические средства аудита и получать доступ к ключевым системным интерфейсам — в том числе RDP, SMB и SSH — через проксирование в сети Tor.

По завершении развёртывания вредонос собирает информацию о заражённой системе, включая сгенерированный onion-хостнейм, и передаёт её через curl на управляющий сервер. После этого атакующие получают возможность управлять системой удалённо, используя зашифрованный канал команд и данных, полностью изолированный от стандартных путей мониторинга.

Оригинал публикации на сайте CISOCLUB: "Хакеры атаковали оборонные структуры России и Беларуси через Tor и OpenSSH".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Кибербезопасность
25,6 тыс интересуются