Изображение: recraft
Специалисты департамента киберразведки экспертного центра безопасности Positive Technologies (PT ESC TI) зафиксировали атаки на телекоммуникационные компании в Кыргызстане и Таджикистане. Злоумышленники рассылали фишинговые письма с документами и ссылками, содержавшими вредоносный код. Хакеры маскировали вредоносы под легитимные компоненты Microsoft Windows.
В сентябре 2025 года злоумышленники направили фишинговые письма в организации в Кыргызстане. Сообщения рассылались якобы от лица потенциальных клиентов, которые хотели узнать о тарифах мобильной связи. К письмам прикреплялся документ, при открытии которого появлялось изображение с текстом на русском языке. В нем говорилось, что для снятия защиты с файла пользователю нужно запустить некий скрипт (по факту — вредоносный). Скрипт загружал бэкдор LuciDoor, который устанавливал соединение с управляющим сервером. Если подключиться напрямую не получалось, вредонос делал это через системные прокси или другие серверы в инфраструктуре жертвы. Установив соединение, LuciDoor собирал базовую информацию об устройстве, загружал программы, выводил данные.
В ноябре 2025-го атаки в Кыргызстане повторились по тому же сценарию, однако в этот раз группировка использовала бэкдор MarsSnake. Вредонос примечателен тем, что его конфигурацию можно изменять без пересборки исполняемого файла (достаточно обновить параметры в загрузчике); это экономит злоумышленникам время. Закрепившись на устройстве жертвы, бэкдор собирал информацию о системе, вычислял ее уникальный идентификатор, передавал данные управляющему серверу.
«Интересно, что в атаках прошлого года вредоносные документы были на русском языке, при этом в настройках фигурировали арабский, английский и китайский. В файлах мы также обнаружили поле, свидетельствующее об использовании китайского языка. Вероятно, у злоумышленников установлен пакет Microsoft Office с соответствующим параметром или они применили шаблон документа на китайском», — рассказал Александр Бадаев, специалист группы киберразведки TI-департамента Positive Technologies.
В январе 2026 года хакеры переключились на телекоммуникационные организации в Таджикистане. Вместо документа злоумышленники прикрепляли к фишинговым письмам вредоносную ссылку, ведущую на файл с обновленной картинкой (текст на ней был на английском языке). В этих атаках группировка вновь использовала бэкдор LuciDoor, изменив его конфигурацию.
Для защиты от подобных атак эксперты Positive Technologies рекомендуют компаниям повышать киберграмотность сотрудников и проводить тренировочные рассылки, которые научат определять фишинговые письма. Кроме того, специалисты подчеркивают необходимость комплексной защиты конечных устройств с помощью антивирусных технологий (MaxPatrol EPP) и продуктов для выявления сложных атак и реагирования на них (MaxPatrol EDR). Системы анализа сетевого трафика, в частности PT NAD, способны интегрироваться с песочницами, извлекать вложения из электронных писем и отправлять их на проверку по ICAP. Так, PT Sandbox анализирует вложения и отображает вердикт в интерфейсе продукта PT NAD, позволяя обнаружить вредоносный файл еще до того, как пользователь его откроет.
Эксперты PT ESC Malware Detection также выпустили правила для PT NAD и PT NGFW. Они позволяют обнаруживать запросы, свидетельствующие о взаимодействии LuciDoor и MarsSnake с C2-серверами, а в случае с PT NGFW — и блокировать их. MaxPatrol SIEM сможет зафиксировать инцидент, а при наличии интеграции с PT NAD и другими продуктами позволит увидеть подробные данные об атаке.
Оригинал публикации на сайте CISOCLUB: "Positive Technologies обнаружила уникальные инструменты APT-группировки, атакующей телеком-компании в странах СНГ".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.