Добавить в корзинуПозвонить
Найти в Дзене
Secure Defence - Ваша кибербезопасность
864 подписчика

Стать жертвой Transparent Tribe и почему обычный антивирус вас не спасёт.

10 мин
Вы представляете, каково это — в понедельник утром обнаружить, что все переговоры вашего финансового директора за последний год лежат на каком-то левом сервере в Пакистане? А ведь это не сценарий фильма, а реальный случай, который произошёл с моим клиентом из сферы промышленного машиностроения. Честно говоря, тогда мы сутки не спали, отрубая щупальца, которые уже полезли из их сети в сторону смежников. Поверьте, читать потом отчёт ФСБ — не самое приятное занятие в жизни. В этой статье я разложу по полочкам, как работают такие группы, на примере Transparent Tribe, и дам конкретные, работающие в 2026 году, правила защиты. Вы удивитесь, но 80% их атак начинается с того, что есть на компьютере у вашего бухгалтера прямо сейчас. Перед нами — высокооплачиваемые профессионалы, часто с государственным финансированием. Группа Transparent Tribe (также известная как APT36 или PROJECTM) — яркий пример. Они десятилетиями оттачивали мастерство против целей в Южной Азии, но знаете, что меня бесит как
Оглавление
Как работают группы на примере Transparent Tribe
Как работают группы на примере Transparent Tribe

Вы представляете, каково это — в понедельник утром обнаружить, что все переговоры вашего финансового директора за последний год лежат на каком-то левом сервере в Пакистане?

А ведь это не сценарий фильма, а реальный случай, который произошёл с моим клиентом из сферы промышленного машиностроения. Честно говоря, тогда мы сутки не спали, отрубая щупальца, которые уже полезли из их сети в сторону смежников. Поверьте, читать потом отчёт ФСБ — не самое приятное занятие в жизни. В этой статье я разложу по полочкам, как работают такие группы, на примере Transparent Tribe, и дам конкретные, работающие в 2026 году, правила защиты. Вы удивитесь, но 80% их атак начинается с того, что есть на компьютере у вашего бухгалтера прямо сейчас.

Давайте сразу договорим: забудьте про «хакеров в капюшонах».

Перед нами — высокооплачиваемые профессионалы, часто с государственным финансированием. Группа Transparent Tribe (также известная как APT36 или PROJECTM) — яркий пример. Они десятилетиями оттачивали мастерство против целей в Южной Азии, но знаете, что меня бесит как специалиста? Их методички, как под копирку, теперь применяются и против российских компаний, особенно в оборонке, науке и госсекторе. Они не ломятся в дверь с тараном. Они тихо ждут, когда вы сами её откроете.

Почему фишинг 2026 года — это не глупые письма про наследство, а шедевр социальной инженерии.

Их текущая кампания — это эталон кинематографичности.

Всё начинается не с кричащего спама. Нет. Вам приходит письмо, скажем, от якобы «Ростеха» или «Российского фонда фундаментальных исследований». В теме — что-то сверхрелевантное: «Уведомление о изменении в 152-ФЗ», «Приглашение на закрытый семинар по субсидиям». Вложение выглядит как PDF-документ «Протокол_совещания.pdf». Но вот загвоздка — это вовсе не PDF.

Это архив, внутри которого — ярлык Windows (LNK-файл), мастерски замаскированный под иконку Adobe Reader. И когда сотрудник, которого месяц мучали требованиями о прохождении финконтроля, двойным кликом открывает «документ», срабатывает адская машинка.

Запускается mshta.exe — легитимный системный процесс для выполнения HTA-скриптов (HTML Application).

И этот скрипт — настоящий швейцарский нож.

Он делает две вещи одновременно: молниеносно расшифровывает и загружает в оперативную память основной вредоносный модуль (техника «fileless» — безфайловая, чтобы не оставлять следов) и… открывает на экране жертвы настоящий, безобидный PDF-документ для отвода глаз. Пользователь видит текст о новых требованиях ФСТЭК, читает его и даже не подозревает, что в этот момент в памяти его компьютера уже поселился цифровой шпион.

К слову, именно на этом этапе 95% классических антивирусов, не умеющих глубоко анализировать поведение скриптов в памяти, ласково машут зловреду ручкой и пропускают его. Это как проверить проводку в доме, просто посмотрев на электросчётчик: вроде всё крутится, а где-то уже тлеет изоляция.

Личный кейс из практики: как мы ловили «невидимку» в сети ритейлера.

Была у меня история с крупной торговой сетью. У них в отделе маркетинга одна сотрудница получила письмо «от Яндекса» про новые возможности размещения. Открыла «документ», увидела прайс-лист и успокоилась. А через две недели их конкуренты неожиданно запустили точь-в-в-точь такую же рекламную кампанию, с теми же креативами и бюджетом. Мы влетели на срочный цифровой форензик. И знаете, что нашли? Тот самый HTA-скрипт, который жил в памяти рабочей станции и раз в три дня скидывал скриншоты экрана и все документы из папки «Маркетинг» на внешний сервер. Антивирус «не видел» его, потому что самого файла на диске не было — только процесс в оперативке. Поймали только благодаря EDR-системе, которая зафиксировала аномальные сетевые соединения после каждого запуска Word.

Инструментарий: как зловреды играют в «кошки-мышки» с вашим антивирусом.

Игра, в которой вы — мышь.

Здесь начинается самое интересное — адаптивность. После запуска скрипт не просто тупо выполняет код. Он, как хирург, проводит рекогносцировку. С помощью объектов ActiveX он сканирует систему: что за ОС, какая архитектура, и главное — какой антивирус стоит.

И в зависимости от ответа, выбирает уникальный метод выживания. Это как умный грабитель, который, увидев камеру «А», обходит её по вентиляции, а найдя сигнализацию «Б», глушит её портативным подавителем.

Например:

  • «Лаборатория Касперского». Зловред создаёт скрытую папку где-нибудь в недрах AppData, записывает туда свой зашифрованный код и прописывает его запуск через безобидный ярлык в папке «Автозагрузка». Классический файловый антивирус часто не проверяет на предмет маскировки именно ярлыки.
  • Quick Heal. Троян создаёт BAT-файл, который, в свою очередь, снова вызывает тот же HTA-скрипт. Запускается цепочка, сбивающая с толку поведенческие блокировки.
  • Avast, AVG, Avira. Здесь проще — вредоносная библиотека просто копируется прямо в автозагрузку, под видом легитимной системной DLL.
  • Если антивируса нет. Самое печальное. Используется комбинация записи в реестр и VBS-скрипта, чтобы возрождаться при каждой загрузке Windows.

Основной модуль, обычно маскирующийся под iinneldc.dll или что-то похожее, — это полноценный швейцарский нож для шпионажа. Он умеет всё: от кражи файлов и слежки за буфером обмена до управления камерой, записи звука и выполнения любых команд, которые придут с сервера. И самое главное — он терпелив. Может неделями «спать», чтобы не привлекать внимание, и активироваться только когда пользователь откроет, например, «1С» или почтовый клиент.

Связь с «центром»: почему сервер может молчать месяцами, и это страшнее, чем DDoS-атака.

Тут многие ошибаются, думая, что раз «сервер не отвечает», то угроза миновала. Это фатальная ошибка. В одной из операций Transparent Tribe использовался документ-приманка «NCERT-Whatsapp-Advisory.pdf.lnk». Он загружал установщик с поддельного сайта авиаклуба. После установки в системе оставался «спящий» агент.

Что тревожно: его командный сервер, зарегистрированный весной 2025-го, мог быть неактивен на момент обнаружения. Но механизм автозагрузки был прописан так надёжно (через ветки реестра Run и RunOnce), что стоило злоумышленникам включить сервер — и все ранее заражённые машины бы дружно «ожили» и вышли на связь. Библиотека общалась с сервером через GET-запросы, шифруя данные… простым реверсом строки в URL. До смешного примитивно, но эффективно против базовых средств мониторинга трафика, которые не занимаются декодированием URL.

Представьте: в вашей сети тихо сидят 10 таких «спящих» агентов. Вы их не видите. И в день «X», когда ваша компания будет участвовать в тендере на госконтракт, все они одновременно проснутся и начнут выкачивать чертежи, коммерческие предложения и переписку с заказчиком. Именно так и происходит промышленный шпионаж в 2026 году.

10 правил 2026 года от практика, которые вы не найдёте в методичках ФСТЭК.

Забудьте про формальные списки из десяти пунктов.

Вот что реально работает в полевых условиях против таких APT-групп.

  1. Запретите исполнение HTA и VBS скриптов из почты и интернета. Это делается через политики AppLocker или Windows Defender Application Control (WDAC). Это убьёт 80% таких атак на корню.
  2. Внедряйте EDR/NDR, а не полагайтесь на сигнатурный антивирус. Если ваш «защитник» не видит аномалий в поведении процессов (например, mshta.exe вдруг начинает активно работать с памятью и сетью), вы слепы. EDR — это ваша видеозапись, по которой можно восстановить цепочку взлома.
  3. Сегментируйте сеть. Бухгалтерия не должна «видеть» R&D-отдел. Сервер с чертежами должен быть изолирован как банковское хранилище. Это остановит lateral movement — перемещение злоумышленника по вашей сети.
  4. Минимизируйте права локальных администраторов. Большинство заражений происходит под учёткой обычного пользователя. Если у него нет прав писать в автозагрузку или реестр — многие сценарии просто не сработают.
  5. Регулярно ищите «спящие» автозагрузки. Скрипт на PowerShell, который проверяет HKLM\Software\Microsoft\Windows\CurrentVersion\Run, папки автозагрузки, планировщик заданий и службы — должен бегать еженедельно и искать аномалии.
  6. Тренируйте людей на реалистичных фишинговых симуляциях. Не просто «не кликайте на ссылки». А именно на таких кейсах: «Вот вам письмо от условного «Ростелекома» с якобы счетом. Найдите 5 признаков фальшивки». Без наказаний, только обучение.
  7. Ведите hunt за IOC (Indicators of Compromise). Регулярно загружайте в свою систему IOC из открытых источников (вроде AlienVault OTX) по актуальным группам вроде Transparent Tribe и ищите их в своих логах.
  8. Контролируйте исходящий трафик. Необъяснимые соединения на странные домены или IP-адреса в регионах, с которыми у вашей компании нет бизнеса (Пакистан, Индия, неожиданно — Нидерланды) — красный флаг.
  9. Готовьте план реагирования (Incident Response Plan). Не «если», а «когда». Чёткий регламент: кто отключает машину от сети, кто звонит в ФСБ, кто начинает сбор доказательств. Паника в час Ч — ваш главный враг.
  10. Аудит мессенджеров и личных устройств по модели BYOD. Часто утечка идёт не с рабочего компьютера, а с телефона финансового директора, на который пришло такое же фишинговое сообщение в WhatsApp. Вы проверяли корпоративные телефоны топ-менеджеров за последние 90 дней? Вот то-то же.

══════

Нужна помощь?
Оставьте заявку на Бесплатную консультацию на сайте: https://securedefence.ru/
Пришлём чек-лист + дорожную карту + КП
Первые 5 заказов каждый месяц — расширенный аудит на 12 страниц в подарок!

══════

Часто задаваемые вопросы (FAQ), на которые устал отвечать в личке

  1. Мы маленькая компания, зачем мы кому-то нужны?
    Вы не нужны как конечная цель. Вы нужны как «трамплин» для атаки на вашего крупного партнёра, клиента или поставщика в ОПК. Через вас проще попасть в их сеть.
  2. Купили дорогой антивирус, разве этого мало?
    Увы. Современные целевые атаки рассчитаны на обход классических антивирусов. Нужен комплекс: антивирус + EDR + грамотная настройка + обучение людей.
  3. Как понять, что мы уже заражены?
    Косвенные признаки: странная сетевая активность ночью, замедление рабочих станций без причины, появление непонятных процессов (вроде wscript.exe или cscript.exe, работающих под учётными записями пользователей), срабатывание DLP на необычно большие исходящие объёмы данных.
  4. Обязательно ли нанимать свою SOC-команду?
    Для среднего бизнеса часто выгоднее и эффективнее услуга Managed Detection and Response (MDR) — когда вашу сеть мониторят удалённые эксперты 24/7, а вы получаете готовые инциденты с рекомендациями.
  5. 152-ФЗ нас обязывает защищать ПДн, а у нас украли коммерческую тайну. Это же разные вещи?
    С точки зрения регулятора — да. С точки зрения злоумышленника — нет. Он крадёт всё, что плохо лежит. Методы защиты инфраструктуры (сегментация, контроль доступа, логирование) — едины.
  6. Правда, что такие группы работают только по заказу спецслужб?
    Не всегда. Часто это коммерческие кибершпионские группировки, которые продают доступ к сетям компаний или украденные данные на теневых форумах. Мотив — деньги, а не идеология.
  7. Стоит ли полностью запретить использование USB-носителей?
    Это радикально, но в высокорисковых средах (КИИ, ОПК) — обязательно. В остальных случаях — строгий контроль через DLP и политики, разрешающие только сертифицированные флешки с шифрованием.
  8. Как часто нужно проводить тесты на проникновение?
    Минимум раз в год — комплексный внешний и внутренний аудит. Плюс после любых значимых изменений в инфраструктуре (переезд в облако, запуск нового SaaS-сервиса).
  9. Мы используем облака (Yandex Cloud, VK), разве это не снимает часть проблем?
    Нет. Модель общей ответственности: провайдер отвечает за безопасность «облака», а вы — за безопасность данных     в облаке (настройки доступа, конфигурации, сохранность ключей). Ошибки в настройках S3-бакета или прав доступа к виртуальной машине — главная причина утечек.
  10. Что страшнее: вымогатели (ransomware) или шпионы (APT)?
    Вымогатель громко хлопает дверью, кричит и требует выкуп. Шпион тихо живёт у вас годами, методично вынося всё ценное. Ущерб от второго в долгосрочной перспективе почти всегда выше, особенно для стратегических отраслей.

Итог простой, хоть и неприятный.

Угрозы в стиле Transparent Tribe — это не про «взлом». Это про тихую, методичную эксплуатацию человеческого доверия и небольших пробелов в вашей обороне. Вы не можете сделать себя неуязвимыми на 100%. Но вы можете сделать атаку на себя настолько дорогой и сложной, что злоумышленник просто махнёт рукой и пойдёт искать кого-то попроще. А для этого нужно мыслить как они, предвосхищать их действия и не надеяться на «волшебную таблетку» в виде одной купленной программы.

Если после прочтения вы осознали, что ваша текущая защита — это дверь с стеклянной вставкой, а не стальной сейф, самое время действовать.

══════

Больше материалов: Центр знаний SecureDefence.

Оставьте заявку на бесплатную консультацию: [Перейти на сайт]