"Здравствуйте, вам документ". Почему фишинг в России никогда не умрет (а только станет умнее)

фишинг apt-группировки positive technologies вредонос безопасность
"Здравствуйте, вам документ". Почему фишинг в России никогда не умрет (а только станет умнее)
фишинг apt-группировки positive technologies вредонос безопасность

Что такое TMCShell и почему он так опасен для российской промышленности?

image

Специалисты департамента Threat Intelligence экспертного центра безопасности Positive Technologies (PT ESC TI) подвели итоги активности APT-группировок в отношении российских организаций за третий квартал 2025 года. Главный тренд остаётся прежним: фишинг остаётся основным вектором первоначального проникновения. Хакеры активно используют его как в стандартных атаках, так и в сложных сценариях нулевого дня.

Эксперты отмечают рост количества вредоносных файлов и усложнение способов их доставки. Почти все отслеживаемые группировки повысили активность, особенно кибершпионские Goffee и IAmTheKing, а также финансово мотивированная Fluffy Wolf. В сравнении со вторым кварталом количество уникальных семплов заметно выросло.

Большинство атак начинались с писем, содержащих архивы с замаскированными под официальные документы вредоносными файлами или скриптами. Группировка PhantomCore использовала фишинговые страницы с поддельными CAPTCHA, создавая иллюзию легитимности.

По оценке PT ESC TI, фишинг по электронной почте остаётся одним из самых удобных инструментов для злоумышленников: пользователь сам запускает вредоносные вложения, что делает вектор особенно эффективным. Чтобы обойти защиту, хакеры совершенствуют способы доставки и маскировки вредоносного ПО. Эксперты советуют обращать внимание на письма от неизвестных отправителей, срочные призывы и упоминания государственных органов — эти признаки часто указывают на подделку.

Особенно заметна активность шпионских группировок. Telemancon, специализирующаяся на атаках на российскую промышленность, отказалась от простых самописных дропперов в пользу многослойного шифрования, усложняющего анализ средствами защиты. Её бэкдор TMCShell теперь способен распознавать, что запущен в песочнице, и в этом случае не активируется, оставаясь незамеченным.

Fluffy Wolf изменила подход к рассылкам: вместо документов хакеры стали прикладывать их значки со встроенным URL. Переход по ссылке приводил к загрузке архива с вредоносной нагрузкой, а сайт имитировал легитимный ресурс. Такая техника позволяла группе дольше избегать обнаружения.

Хактивисты Black Owl вновь атаковали транспортно-логистические компании. Для увеличения шансов заражения они стали помещать в один архив несколько идентичных образцов вредоносов с разными документами-приманками. С помощью легитимных инструментов для отслеживания прочтения писем злоумышленники оценивали реакцию адресатов и выбирали тех, кто с наибольшей вероятностью откроет вложение.

Эксперты Positive Technologies напоминают: эффективная защита требует многослойного подхода, сочетающего проверку почтового трафика, песочницы, средства защиты конечных устройств и мониторинг сетевой активности. Такой подход позволяет оперативно реагировать на угрозы и выявлять аномалии до их перехода в инциденты.