- 26,550
- 46
- 8 Ноя 2022
Четыре группировки дали почти три четверти новых образцов вредоносного ПО.
Российские компании вошли в 2026 год с заметным ростом вредоносной активности: за первый квартал эксперты Positive Technologies нашли 808 новых образцов вредоносного ПО, связанных с 11 отслеживаемыми хакерскими группировками. По сравнению с первым кварталом 2025 года число уникальных образцов выросло на 38%.
Отчёт PT ESC TI показывает резкий разгон атак к концу квартала. В январе специалисты зафиксировали 117 новых образцов, в феврале уже 283, а в марте 408. Главной целью остался правительственный сектор, на который пришлось 17,86% всех зафиксированных инцидентов. Финансовые организации и структуры гражданского общества получили по 9,82%, промышленность заняла 8,04%.
Почти три четверти нового вредоносного ПО связаны с активностью четырёх группировок: Rare Werewolf, PhaseShifters, PhantomCore и Hive0117. На долю этих операторов пришлось около 72% новых образцов за квартал.
Rare Werewolf использовала в атаках легитимный инструмент удалённого доступа AnyDesk. После установки на компьютер жертвы вредоносная цепочка передавала AnyDesk ID операторам через комментарии на странице GitHub Gist, а злоумышленники подключались к заражённой системе по полученному идентификатору.
Самой необычной частью атаки стал вспомогательный скрипт, который автоматически нажимал кнопки в окнах предупреждений Windows. Система безопасности просила разрешить запуск или установку потенциально опасной программы, но автоматические клики лишали пользователя времени на отказ и помогали вредоносному ПО продолжить работу.
PhaseShifters вела фишинговую кампанию против авиационной промышленности и оборонно-промышленного комплекса. После открытия вредоносного вложения на компьютер попадал троян Remcos. Программа давала атакующим удалённый контроль над устройством, позволяла наблюдать за экраном, перехватывать нажатия клавиш и получать данные.
PhantomCore рассылала фишинговые письма с вложенными ярлыками Windows в формате LNK. Открытие ярлыка запускало вредоносный PowerShell-скрипт, после чего атакующие получали возможность продолжить заражение системы.
Hive0117 атаковала бухгалтерские подразделения компаний через троян удалённого доступа DarkWatchman. Вредоносная программа перехватывала нажатия клавиш и отправляла данные операторам, а затем удаляла точки восстановления Windows, чтобы усложнить откат системы к состоянию до заражения.
Для связи с командным сервером DarkWatchman применял алгоритм генерации доменов. Такой механизм заранее создаёт множество возможных адресов для подключения и помогает сохранить управление заражённой системой, даже если основные домены попадут под блокировку.
Другие группировки тоже активно меняли инструменты и способы маскировки. Часть атакующих использовала вредоносные программы с признаками генерации через ИИ: в коде встречались шаблонные названия переменных и избыточные комментарии на английском языке. Некоторые операторы прятали скрипты в реестре Windows, обходили защиту Microsoft Office через уязвимость CVE-2026-21509, рассылали документы с макросами под видом кадровых анкет и хранили вредоносные компоненты на легитимных облачных сервисах, включая GitHub, Firebase и Bitbucket.
Денис Казаков, специалист группы киберразведки TI-департамента Positive Technologies, отметил, что атакующие используют разные техники: от ИИ-сгенерированного кода до легитимных облачных площадок для хранения вредоносных программ и управления атаками.
Российские компании вошли в 2026 год с заметным ростом вредоносной активности: за первый квартал эксперты Positive Technologies нашли 808 новых образцов вредоносного ПО, связанных с 11 отслеживаемыми хакерскими группировками. По сравнению с первым кварталом 2025 года число уникальных образцов выросло на 38%.
Отчёт PT ESC TI показывает резкий разгон атак к концу квартала. В январе специалисты зафиксировали 117 новых образцов, в феврале уже 283, а в марте 408. Главной целью остался правительственный сектор, на который пришлось 17,86% всех зафиксированных инцидентов. Финансовые организации и структуры гражданского общества получили по 9,82%, промышленность заняла 8,04%.
Почти три четверти нового вредоносного ПО связаны с активностью четырёх группировок: Rare Werewolf, PhaseShifters, PhantomCore и Hive0117. На долю этих операторов пришлось около 72% новых образцов за квартал.
Rare Werewolf использовала в атаках легитимный инструмент удалённого доступа AnyDesk. После установки на компьютер жертвы вредоносная цепочка передавала AnyDesk ID операторам через комментарии на странице GitHub Gist, а злоумышленники подключались к заражённой системе по полученному идентификатору.
Самой необычной частью атаки стал вспомогательный скрипт, который автоматически нажимал кнопки в окнах предупреждений Windows. Система безопасности просила разрешить запуск или установку потенциально опасной программы, но автоматические клики лишали пользователя времени на отказ и помогали вредоносному ПО продолжить работу.
PhaseShifters вела фишинговую кампанию против авиационной промышленности и оборонно-промышленного комплекса. После открытия вредоносного вложения на компьютер попадал троян Remcos. Программа давала атакующим удалённый контроль над устройством, позволяла наблюдать за экраном, перехватывать нажатия клавиш и получать данные.
PhantomCore рассылала фишинговые письма с вложенными ярлыками Windows в формате LNK. Открытие ярлыка запускало вредоносный PowerShell-скрипт, после чего атакующие получали возможность продолжить заражение системы.
Hive0117 атаковала бухгалтерские подразделения компаний через троян удалённого доступа DarkWatchman. Вредоносная программа перехватывала нажатия клавиш и отправляла данные операторам, а затем удаляла точки восстановления Windows, чтобы усложнить откат системы к состоянию до заражения.
Для связи с командным сервером DarkWatchman применял алгоритм генерации доменов. Такой механизм заранее создаёт множество возможных адресов для подключения и помогает сохранить управление заражённой системой, даже если основные домены попадут под блокировку.
Другие группировки тоже активно меняли инструменты и способы маскировки. Часть атакующих использовала вредоносные программы с признаками генерации через ИИ: в коде встречались шаблонные названия переменных и избыточные комментарии на английском языке. Некоторые операторы прятали скрипты в реестре Windows, обходили защиту Microsoft Office через уязвимость CVE-2026-21509, рассылали документы с макросами под видом кадровых анкет и хранили вредоносные компоненты на легитимных облачных сервисах, включая GitHub, Firebase и Bitbucket.
Денис Казаков, специалист группы киберразведки TI-департамента Positive Technologies, отметил, что атакующие используют разные техники: от ИИ-сгенерированного кода до легитимных облачных площадок для хранения вредоносных программ и управления атаками.
- Источник новости
- www.securitylab.ru
