• Добро пожаловать на сайт - Forumteam.bet !

    Что бы просматривать темы форума необходимо зарегестрироваться или войти в свой аккаунт.

    Группа в телеграме (подпишитесь, что бы не потерять нас) - ForumTeam Chat [Подписатся]
    Связь с администратором - @ftmadmin

F6: группировка SiribClone атакует российских военных через Telegram и шпионское ПО

Article Publisher

Публикатор
Команда форума
Регистрация
05.02.25
Специалисты компании F6 сообщили об активности ранее неизвестной кибершпионской группировки SiribClone, которая атакует российских военнослужащих. Злоумышленники используют сразу несколько схем атак: угоняют Telegram-аккаунты с помощью фишинга, распространяют шпионское ПО для Android через социальную инженерию и заражают ПК малварью, маскируя ее под документы на военную тематику.

По данным исследователей, первые следы активности группы относятся к лету 2025 года. Тестирование собственных инструментов злоумышленники начали в декабре прошлого года, а в январе–феврале 2026 года специалисты зафиксировали атаки на военнослужащих через мессенджеры и сайты знакомств.


Основной целью SiribClone является сбор личных данных, геолокации, переписок, контактов и другой информации, представляющей интерес для военной разведки.

Исследование началось в феврале 2026 года с обнаружения архива «Решение по СВОДУ.zip». Внутри находился LNK-файл, замаскированный под документ Word на военную тематику. При запуске он открывал файл-приманку и одновременно загружал с GitHub вредоносный PowerShell-скрипт.



В итоге специалисты обнаружили ранее неизвестную малварь для Windows, получившую название SiribGrabber. Вредонос использует утилиту rclone для кражи данных и автоматически выгружает на серверы операторов документы, фотографии, видео, архивы и другие файлы. Для закрепления в системе малварь создает BAT- и PowerShell-скрипты и добавляет их в автозагрузку через реестр.

В ходе дальнейшего расследования аналитики обнаружили несколько GitHub-профилей, тестовые конфигурации вредоносов и управляющую инфраструктуру группировки. Особый интерес, по словам специалистов, представлял внутренний инструмент атакующих под названием «КОНТУР», предназначенный для работы с похищенными Telegram-сессиями.



Система позволяла просматривать сообщения скомпрометированных пользователей и содержала заметки по конкретным жертвам. В них злоумышленники указывали геолокацию, должность, звание, принадлежность к воинским частям, а также отмечали, кто из операторов группировки занимался конкретной целью. Подчеркивается, что эти данные прямо указывают на шпионский характер операций SiribClone.

Для компрометации Telegram-аккаунтов злоумышленники использовали десятки фишинговых доменов, замаскированных под облачные сервисы, приглашения в каналы, видеоплатформы и другие легитимные ресурсы. Пользователям предлагали авторизоваться через Telegram, после чего атакующие получали sessionString — специальный токен, обеспечивающий доступ к аккаунту без повторного ввода кода подтверждения.

Кроме того, отдельное направление атак было связано с социальной инженерией. Под видом волонтеров или девушек, желающих познакомиться, злоумышленники вступали в переписку с военнослужащими через Telegram и другие платформы.

После установления доверительных отношений с жертвами, им отправляли ссылки на якобы безопасные сервисы обмена фотографиями, облачные хранилища или формы для получения гуманитарной помощи. В действительности пользователям предлагалось установить вредоносные APK-файлы с названиями вроде Safeintim.apk. Обнаруженный Android-вредонос специалисты назвали SafeLoveStealer.

SafeLoveStealer классифицируется как шпионское ПО, так как после установки приложение собирает сведения об устройстве, данные о сети и Wi-Fi, геолокацию, фотографии, документы, видео- и аудиофайлы. Кроме того, SafeLoveStealer способен записывать звук с микрофона и распознавать речь. По словам исследователей, основная цель вредоноса — получить максимально полный набор личных, технических и географических данных владельца устройства и скрытно передать их своим операторам.

В отчете сообщается, что в мае 2026 года была зафиксирована новая волна активности SiribClone. К примеру, на одном из серверов злоумышленников появился сайт, оформленный в тематике акции «Бессмертный полк». Пользователям предлагали заполнить анкету для участия в онлайн-мероприятии и скачать итоговую заявку. Вместо документов жертвы получали архивы с LNK-файлами, которые запускали обновленную версию SiribGrabber.

В F6 отмечают, что операционная модель SiribClone сочетает социальную инженерию, фишинг, мобильное шпионское ПО и малварь для Windows. По мнению исследователей, группировка продолжает развивать свою инфраструктуру и искать новые способы получения данных военнослужащих ВС РФ.
 
Сверху Снизу