Реклама, АО «Позитив Текнолоджиз», ИНН 7718668887, 18+
Image

Онлайн-запуск MaxPatrol 360

Единый центр управления для SOС от Positive Technologies. Зарегистрироваться

Бэкдор с под видом PuTTY. Как хакеры портят жизнь системным администраторам

leer en español

Orange Cyberdefense SmokedHam Qilin UNC2465 malvertising Cloudflare Workers Европа
Бэкдор с под видом PuTTY. Как хакеры портят жизнь системным администраторам
Orange Cyberdefense SmokedHam Qilin UNC2465 malvertising Cloudflare Workers Европа

Один «неверный клик» по ссылке в поисковике способен лишить вас всех данных.

image

В начале 2026 года рекламные объявления в поиске снова стали удобной ширмой для атак на европейские компании. Специалисты Orange Cyberdefense описали цепочки заражения, в которых под видом привычных IT-утилит распространялся бэкдор SmokedHam, а в одном из инцидентов дело дошло до шифровальщика Qilin. По оценке команды, за кампанией может стоять известная в среде кибервымогателей фигура, связанная с громкими атаками прошлых лет.

С февраля по начало апреля Orange Cyberdefense CERT разбирал несколько инцидентов у трёх клиентов из Европы. Во всех случаях злоумышленники использовали вредоносную рекламу и маскировали заражённые установщики под легитимные инструменты, включая RVTools и Remote Desktop Manager. После запуска поддельного дистрибутива на устройствах появлялся SmokedHam.

В одном из эпизодов заражение не ограничилось скрытым доступом. Атака завершилась развёртыванием Qilin. Для сокрытия активности операторы применяли сразу два решения для мониторинга сотрудников, а также смешивали вредоносные действия с обычными административными инструментами, среди которых PuTTY, Kitty, Zoho Assist и Total Commander. Дополнительно инфраструктура включала Cloudflare Workers для сокрытия реального маршрута трафика и стандартные конечные точки AWS.

Orange Cyberdefense с умеренной уверенностью связывает кампанию с UNC2465. Аналитики указывают, что группа или связанный с ней партнёр ранее фигурировали в атаках с применением DarkSide, LockBit и Hunters International. Связь строится на пересечениях в тактиках, техниках и инфраструктуре.

Отдельное внимание авторы отчёта уделили самому SmokedHam. Команда сравнила более 30 образцов, собранных в 2025 и 2026 годах, и пришла к выводу, что оператор быстро меняет инструменты. У разных вариантов отличаются способы доставки и закрепления в системе, что говорит о постоянной доработке арсенала и высокой активности атакующих.

Специалисты также нашли несколько вредоносных доменов, через которые распространялся SmokedHam. Такие площадки использовали малвертайзинг и выдавали заражённые файлы за популярные служебные программы. По наблюдениям Orange Cyberdefense, с начала 2026 года интерес атакующих всё заметнее смещается в сторону европейских организаций.