И что, вы до сих пор думаете, что вас не взломают?

CoolClient после этого начинает жить своей жизннуть

🔥 Совсем недавно мы разматывали клубок атаки на одного крупного российского поставщика.

Казалось бы, всё защищено: EDR, файерволы, DLP.

Вскрылось всё случайно: один из системных администраторов заметил странную активность на FTP-сервере. И знаете, что это было? Последний «творческий» апдейт от группировки HoneyMyte. Их трояны теперь умеют прятаться в файлах легального софта, который вы качаете каждый день. В этой статье я покажу, как именно они работают и почему ваши стандартные меры защиты — это старый замок, который взламывают отмычкой из интернета. Расскажу про их новый CoolClient и дам 10 правил, которые реально работают в 2026 году. Не теория, а только то, что мы применяем в бою.

Начну с главного. Когда речь заходит о целевых атаках, многие CISO в России до сих пор грешат одной ошибкой: они смотрят на угрозы как на что-то абстрактное, где-то там, за периметром. «У нас стоит „Лаборатория Касперского“ и настроен SIEM, значит, мы под колпаком». Честно? Это опасное заблуждение.

Группировка вроде HoneyMyte — а это, между прочим, ребята с серьёзным кибершпионским уклоном и явной государственной поддержкой — работает не в лоб. Они не ломятся в двери. Они тихо ждут, когда вы сами их впустите. Их последние операции против госструктур в Азии и, что важнее, в России и Монголии, — это идеальный пример эволюции. Они больше не просто хакеры; они полноценные разведчики в цифровом поле.

Их инструмент — CoolClient. Слышали о таком?

Впервые его засекли ещё в 2022-м, и с тех пор он прокачался так, что его прародителя не узнать. Если раньше это был просто шпион, ворующий пароли, то теперь это целый комплекс для наблюдения. Представьте себе жучок, который не только записывает все разговоры в комнате, но и умеет подражать голосам жильцов, чтобы отдать приказ сейфу открыться. Грубая аналогия, но по сути верная.

Как работает эта дрянь сегодня? Технические нюансы, которые пропускают 90% системных администраторов.

Вот смотрите, классический вектор — подмена DLL. Вы качаете себе, скажем, свежую версию VLC-плеера или даже, прости господи, установщик от Bitdefender. Всё честно, подпись проверяется, антивирус молчит. Но в момент установки легитимное приложение загружает не ту системную библиотеку, а вредоносную, подсунутую злоумышленниками. И понеслась.

CoolClient после этого начинает жить своей жизннуть.

Он собирает системную информацию — это раз. Перехватывает все нажатия клавиш — это два. Следит за буфером обмена — вы скопировали номер карты или пароль из менеджера, и он уже у них. Но самое интересное — туннелирование трафика. Программа создаёт скрытый канал связи, маскируя его под легитимный HTTPS-трафик, чтобы выгружать данные. И знаете, куда? Часто — на публичные файлообменники вроде Pixeldrain. Это же гениально с их точки зрения: не нужно держать дорогие сервера, трафик сливается на чужие, ни к чему не привязанные ресурсы.

Что любопытно, в некоторых версиях они реализовали обработку путей на лету. Это значит, что троян сам адаптируется под браузеры, установленные на вашей машине — Chrome, Edge, «Яндекс.Браузер» — неважно. Он найдёт, где хранятся ваши cookies и сохранённые логины.

А дальше в дело вступают скрипты.

PowerShell, BAT-файлы — то, что часто безнаказанно выполняется в корпоративных сетях, потому что «это нужно для администрирования». Они автоматизируют самое скучное: собирают документы по ключевым словам (ищут «совершенно секретно», «договор», «паспорт сделки»), пакуют их в архив и тихо выгружают. При этом могут даже отключать на время браузеры, чтобы те не мешали копировать базы данных.

Личный кейс из практики SOC-аналитика: как мы нашли то, что не искали.

Помню один случай с нашим клиентом, компанией из ТЭКа. У них случился странный «шум» в сети — небольшие, но регулярные исходящие подключения на один IP за рубежом. EDR-система ничего не показывала, сигнатурные антивирусы молчали. Начали копать. Оказалось, что один из инженеров неделей ранее установил себе утилиту для калибровки оборудования. Она была подписана, всё чисто. Но внутри использовала старую версию библиотеки от Sangfor, в которую и вшили модифицированный CoolClient.

И этот троян работал как швейцарский часы:

трижды в день собирал скриншоты экрана, выгребал всю историй переписки из корпоративного мессенджера (не Telegram, а своего, внутреннего) и искал файлы с расширением .dwg — чертежи. Честно говоря, это был момент, когда становится немного не по себе от профессионализма противника. Они не просто воруют, они понимают бизнес-процессы и ищут именно то, что принесёт максимум ущерба. Кстати, связь с группировкой LuminousMoth подтвердилась — одинаковые имена временных файлов, совпадения в коде. Это одна и та же мастерская, просто под разными вывесками.

Теперь к самому главному. Все эти страшилки — не для того, чтобы вас напугать, а чтобы показать: защита должна быть комплексной и, простите за тавтологию, умной. Стандартный список из серии «обновляйте антивирус и ставьте сложные пароли» в 2026 году — это как приехать на битву роботов на телеге. Не работает.

Поэтому забудьте на минуту всё, что вам говорили консультанты. Давайте по-простому, как между своими.

10 правил защиты от таких атак, как HoneyMyte.

То, что мы внедряем у своих клиентов после каждого инцидента.

1. Запретите белый шум в виде PowerShell. Серьёзно. Ограничьте выполнение скриптов только для выделенных административных рабочих станций с усиленным мониторингом. Обычному пользователю PowerShell не нужен в 99% случаев. А именно он — любимая лошадка для доставки полезной нагрузки.
2. Принцип нулевого доверия — это не мантра, а ежедневная практика. Не верьте ничему внутри периметра. Разделите сеть на сегменты. Доступ к финансовым документам? Только с выделенных ПК в отдельном VLAN. Это как проверять проводку ночью: всё тихо, пока не искрит.
3. EDR — это must-have, а не опция. Но его нужно правильно настроить. Он должен видеть не только угрозы по сигнатурам, но и аномальное поведение: массовое копирование файлов, попытки отключить службы, странные исходящие соединения. Если ваш EDR не умеет этого, меняйте его.
4. Двухфакторка (2FA) везде, где можно. И нет, SMS — это уже не безопасно. Используйте токены или приложения-аутентификаторы. Это ломает 80% сценариев кражи учётных данных.
5. Аудит не раз в год, а постоянно. Внедрите процессы непрерывного контроля. Кто, когда и к каким данным обращался? Особенно это критично для 152-ФЗ. У нас был случай, когда уволенный сотрудник за месяц до увольнения скачал всю клиентскую базу — и классический аудит это пропустил, потому что проверяли раз в квартал.
6. Блокируйте публичные файлообменники. Pixeldrain, SendSpace и им подобные — на корпоративном шлюзе они должны быть в чёрном списке. Выгружать данные наружу сотруднику чаще всего некуда, кроме как на них.
7. Контроль целостности ПО. Внедрите политику, при которой любое новое ПО, даже от доверенных вендоров, устанавливается только из централизованного каталога, предварительно проверенного. Никаких «скачал с сайта».
8. Учения для сотрудников — без воды. Забудьте про скучные презентации. Делайте интерактивные фишинговые симуляции, учите на реальных кейсах. Человек, который один раз «попался» на учение и получил разбор полётов, в десять раз осторожнее.
9. Мониторинг DNS-запросов. Много вредоносного софта для C&C (Command and Control) серверов использует DNS-туннелирование. Странные, длинные поддомены, запросы к недавно зарегистрированным доменам — это красные флаги.
10. План реакции на инцидент должен быть не на бумаге. Его нужно регулярно отыгрывать. Кто звонит в ФСТЭК по 187-ФЗ? Кто отвечает за сбор логов? Кто общается с правоохранительными органами? Если на эти вопросы нет чётких ответов за 15 минут, вы уже проиграли.

Вы спросите: а дорого ли это?

По правде, иногда да. Но всегда дешевле, чем потерять коммерческую тайну, заплатить многомиллионный штраф от Роскомнадзора за утечку по 152-ФЗ или получить простой производства на неделю из-за шифровальщика.

И ещё один нюанс, о котором мало кто говорит в России. Современные хакерские группировки вроде HoneyMyte часто используют атаки на поставщиков (supply chain). Взломали не вас, а вашего IT-аутсорсера или разработчика ПО, который у вас стоит. И через него уже зашли в десятки компаний. Поэтому ваш vendor risk management — оценка рисков поставщиков — должна быть на уровне.

Что же делать прямо сейчас? Не паниковать, а систематизировать.

══════

Нужна помощь?
Оставьте заявку на Бесплатную консультацию на сайте: https://securedefence.ru/
Пришлём чек-лист + дорожную карту + КП
Первые 5 заказов каждый месяц — расширенный аудит на 12 страниц в подарок!

══════

А теперь давайте разберём самые частые вопросы, которые мне задают после таких рассказов.

FAQ: 10 вопросов, которые вы стеснялись задать своему InfoSec-специалисту

1. Мы не госструктура и не госкомпания. Нас точно не атакует такая продвинутая группа?
   Увы, но это миф. Они атакуют не по статусу, а по данным. Ваша база клиентов, ноу-хау производства, финансовые отчёты — всё это имеет ценность. Монгольские и российские частные компании из их списка целей это подтверждают.
2. У нас стоит обычный антивирус. Разве его недостаточно?
   Для массовых угроз — может, и хватит. Для целевой атаки с кастомным софтом вроде CoolClient — абсолютно нет. Сигнатурный антивирус его просто не увидит, потому что этот троян написан специально для вас и его нет в базах.
3. Как на практике выглядит «подмена DLL»? Можете пример?
   Конечно. Допустим, вы устанавливаете Ulead PhotoImpact. Установщик должен загрузить системный файл msvcrt.dll. Злоумышленники кладут рядом свой вредоносный файл с таким же именем, но с другим порядком поиска библиотек. Легитимное приложение загружает их подделку, которая затем внедряет в систему основной троян.
4. PowerShell у нас нужен для администрирования. Как его ограничить, но не сломать процессы?
   Используйте технологию Constrained Language Mode или Just Enough Administration (JEA). Это позволяет дать администраторам права на выполнение конкретных задач, но не позволяет запускать произвольный опасный код. Плюс — весь журнал их действий пишется.
5. EDR системы дорогие. Есть адекватная альтернатива для среднего бизнеса?
   Смотрите в сторону российских XDR-решений, которые уже включают в себя часть EDR-функционала. Иногда они дешевле. Но главное — без поведенческого анализа в 2026 году вы практически слепы. Это критическая статья расходов.
6. Наши сотрудники постоянно жалуются, что двухфакторная аутентификация — это неудобно. Как их убедить?
   Покажите им последствия. Не в теории, а на цифрах. «Коллеги, из-за украденного пароля без 2FA наш конкурент получил доступ к нашим тендерным предложениям на год вперёд. Мы потеряли контракт на 50 миллионов». Неудобство меркнет перед такими рисками.
7. Как проверить, не заражены ли мы уже сейчас чем-то вроде CoolClient?
   Ищите аномалии. Необъяснимые исходящие соединения на нестандартные порты (не только 80/443). Пиковые нагрузки на сеть в нерабочее время. Неизвестные процессы, маскирующиеся под системные (сравнивайте хеши исполняемых файлов с эталонными). Если нет своих сил — закажите пентест с фокусом на поиск уже присутствующих угроз (Threat Hunting).
8. Обязательно ли нам соответствовать 152-ФЗ и 187-ФЗ, если мы не работаем с персональными данными в массовом порядке?
   152-ФЗ касается почти всех, у кого есть сотрудники (их персональные данные) или клиенты-физлица. 187-ФЗ о КИИ — если ваша компания в перечне значимых объектов. Игнорирование — это прямой путь к гигантским штрафам и приостановке деятельности. Причём проверяют всё активнее.
9. Мы блокируем файлообменники, но сотрудники используют личные Telegram и Яндекс.Диск для работы. Что с этим делать?
   Это огромная дыра. Нужна чёткая политика безопасности и технические меры. DLP-система может контролировать передачу файлов через эти каналы. Объясните людям, что это не контроль ради контроля, а защита их же труда от утечки к конкурентам.
10. Сколько в среднем занимает время на полное внедрение такой системы защиты?
    Быстрого пути нет. Это путь на 6-12 месяцев минимум. Начинается всегда с аудита и оценки рисков, затем — дорожная карта с приоритетами: сначала закрываем самые критические угрозы (например, учётные записи с привилегиями), потом всё остальное. Главное — начать и делать последовательно.

Вот и всё. Напоследок скажу, что в нашем деле паранойя — это профессиональная деформация. Но именно она спасает бизнес. Не ждите, когда в вашем инцидент-респонсе зазвонит телефон с криком «У нас всё шифруется!». Начинайте действовать вчера.

══════

Больше материалов: Центр знаний SecureDefence.

Оставьте заявку на бесплатную консультацию: [Перейти на сайт]