Реклама, АО «Позитив Текнолоджиз», ИНН 7718668887, 18+
Image

Устали от спама и фишинга?

Вредоносные письма просто не дойдут до ваших пользователей — мы позаботились об этом.
Онлайн-трансляция — 9 апреля в 15:00 — присоединяйтесь.

Киберосада на российский ВПК: хакеры CapFix полгода воровали данные авиастроителей через «мертвую дыру» в почте

Positive Technologies CapFix фишинг Roundcube CapDoor кибератаки
Киберосада на российский ВПК: хакеры CapFix полгода воровали данные авиастроителей через «мертвую дыру» в почте
Positive Technologies CapFix фишинг Roundcube CapDoor кибератаки

Они маскировались под начальство и бронировали отели, в которых не собирались жить.

image

Российские промышленные и авиастроительные компании оказались под прицелом хакерской группировки CapFix — злоумышленники провели серию целенаправленных атак с конца 2025 по март 2026 года, используя поддельные письма от имени государственных структур и взломанную почтовую инфраструктуру.

Кампанию обнаружили в декабре 2025 года специалисты департамента Threat Intelligence экспертного центра безопасности Positive Technologies. Хакеры рассылали фишинговые письма с вложенными PDF- или HTML-файлами, внутри которых прятались ссылки на скачивание архивов с вредоносной нагрузкой. Письма мимикрировали под официальные сообщения от государственных ведомств, что существенно повышало доверие жертв.

Проникнуть в инфраструктуру жертв группировке помогала критически опасная уязвимость в почтовом веб-клиенте Roundcube Webmail — CVE-2025-49113 с оценкой 9,9 по шкале CVSS. Получив доступ к серверам, злоумышленники рассылали вредоносные файлы от имени доверенных источников, что делало атаки значительно эффективнее.

В новых кампаниях CapFix задействовала усовершенствованную версию собственного инструмента — вредоноса CapDoor. Программа служит промежуточным звеном заражения: собирает сведения о системе, делает снимки экрана, загружает файлы по команде операторов и устанавливает дополнительные модули — в частности, троян удалённого доступа SectopRAT. Исследователи также нашли более ранние образцы CapDoor, замаскированные под криптовалютную тематику: в ноябре 2025 года более 10 таких файлов загрузили в публичные песочницы пользователи из Мексики, США, Нидерландов, Франции и других стран. Параллельно обнаружились фишинговые сайты с техникой ClickFix, имитирующие сервисы бронирования отелей.

В Positive Technologies отмечают, что CapFix по-прежнему считается финансово мотивированной группировкой, однако выбор целей и применяемый инструментарий всё больше напоминают почерк APT-группировок или продвинутых хактивистов. Исследователи зафиксировали четыре новых домена, связанных с CapFix, которые пока неактивны, и предупреждают: группировка, вероятно, продолжит атаки и расширит масштаб операций.

Positive Technologies рекомендует организациям своевременно обновлять программное обеспечение, обучать сотрудников распознавать фишинг и внедрять решения для обнаружения аномальной сетевой активности.