- Автор темы
- #1
Аналитики BI.ZONE изучили активность хактивистского кластера Forbidden Hyena и обнаружили в арсенале группировки ранее неизвестный троян удаленного доступа BlackReaperRAT, а также скрипты с признаками ИИ-генерации. При этом, по данным экспертов, в 2025 году доля атак на российские компании с применением ИИ не превышала 1%.
Впервые группа Forbidden Hyena проявила себя в начале 2025 года. Главной мишенью хакеров являются российские госструктуры, а также компании из сфер здравоохранения, энергетики, ритейла и ЖКХ.
На управляющем сервере атакующих исследователям удалось обнаружить несколько скриптов, которые, по их оценке, были сгенерированы с помощью LLM. Среди них были два PowerShell-скрипта (один отвечает за закрепление малвари в системе, другой — устанавливает на машину жертвы AnyDesk для удаленного доступа) и Bash-скрипт, который загружает и запускает обфусцированный имплант пентестерского фреймворка Sliver.
Конечная цель атак — шифрование инфраструктуры и вымогательство. Для этого группировка использует обновленную версию шифровальщика Blackout Locker, переименованного в Milkyway. По словам исследователей, это вписывается в тренд второго полугодия 2025 года: доля хактивистских атак по идеологическим мотивам снизилась с 20% до 12%, а группировки все чаще совмещают идеологию с классическим вымогательством.
Впервые группа Forbidden Hyena проявила себя в начале 2025 года. Главной мишенью хакеров являются российские госструктуры, а также компании из сфер здравоохранения, энергетики, ритейла и ЖКХ.
На управляющем сервере атакующих исследователям удалось обнаружить несколько скриптов, которые, по их оценке, были сгенерированы с помощью LLM. Среди них были два PowerShell-скрипта (один отвечает за закрепление малвари в системе, другой — устанавливает на машину жертвы AnyDesk для удаленного доступа) и Bash-скрипт, который загружает и запускает обфусцированный имплант пентестерского фреймворка Sliver.
Ключевой находкой исследователей стал BlackReaperRAT, ранее неизвестный троян удаленного доступа, написанный на VBS. Вредонос распространяется через RAR-архивы с bat- и vbs-файлами: при запуске загружается отвлекающий PDF-документ, а в фоне на машину жертвы устанавливается сам RAT. BlackReaperRAT закрепляется в системе через реестр, планировщик задач и автозагрузку, а для получения команд обращается к описанию Telegram-канала. Троян умеет выполнять произвольные команды через cmd.exe, скачивать и запускать файлы, а также распространяться через USB-накопители, подменяя файлы ярлыками.
Конечная цель атак — шифрование инфраструктуры и вымогательство. Для этого группировка использует обновленную версию шифровальщика Blackout Locker, переименованного в Milkyway. По словам исследователей, это вписывается в тренд второго полугодия 2025 года: доля хактивистских атак по идеологическим мотивам снизилась с 20% до 12%, а группировки все чаще совмещают идеологию с классическим вымогательством.