- Автор темы
- #1
В октябре 2025 года специалисты «Лаборатории Касперского» обнаружили новую волну таргетированных атак, связанных с активностью группировки «Форумный тролль». На этот раз целями злоумышленников стали политологи, специалисты по международным отношениям, экономисты ведущих российских вузов и НИИ. Они получали поддельные адресные уведомления о проверке на плагиат.
Напомним, что весной 2025 года специалисты «Лаборатории Касперского» обнаружили сложную шпионскую кампанию «Форумный тролль», нацеленную на российские организации. Тогда выяснилось, что атакующие использовали цепочку эксплоитов и 0-day в браузере Chrome, атакуя жертв через фишинговые письма с предложением поучаствовать в форуме «Примаковские чтения».
В ходе расследования исследователи выявили ранее неизвестную малварь LeetAgent и проследили активность группы до 2022 года, а продолжая анализ арсенала злоумышленников, обнаружили еще один вредонос — коммерческое шпионское ПО Dante, созданное итальянской Memento Labs (бывшая Hacking Team). Это первый случай использования Dante в реальных атаках: малварь анонсировали еще в 2023 году, но до сих пор она нигде не встречалась.
Впоследствии глава Memento Labs Паоло Лецци (Paolo Lezzi) подтвердил, что Dante — действительно принадлежит его компании. При этом Лецци обвинил одного из государственных клиентов в раскрытии спайвари, заявив, что тот использовал устаревшую версию.
Как сообщают специалисты «Лаборатории Касперского», на этот раз рассылка фишинговых писем осуществлялась с адреса support@e-library[.]wiki. Домен принадлежал сайту, который имитировал официальный российский портал elibrary.ru.
В сообщениях содержалась ссылка якобы с отчетом, в котором сообщалось, на чем основаны подозрения в плагиате. После нажатия на ссылку открывался ZIP-файл, названный по фамилии получателя. В архиве находились папка .Thumbs с обычными изображениями (предполагается, она была добавлена, чтобы усыпить бдительность адресатов) и ярлык файла с малварью.
Клик на этот ярлык приводил к загрузке вредоноса и его установке на компьютер жертвы. Одновременно с этим открывался нечеткий PDF-файл, который якобы и содержал информацию о плагиате.
В отчете компании отмечается, что финальный фрагмент вредоносного кода включал в себя легальный коммерческий инструмент для редтиминга Tuoni, который часто используется компаниями для тестирования уровня защищенности собственной инфраструктуры. Злоумышленники получали с его помощью удаленный доступ к устройствам жертв и проводили дальнейшие действия внутри сети.
Аналитики отмечают, что атакующие применяли несколько слоев защиты от анализа. К примеру, для закрепления в системе использовалась техника COM Hijacking — малварь прописывалась в ключ реестра HKCR\CLSID\{1f486a52-3cb1-48fd-8f50-b8dc300d9f9d}\InProcServer32. Эту же технику группа применяла в весенних атаках.
Кроме того, эксперты пишут, что атакующие тщательно подготовили свою онлайн-инфраструктуру. Они разместили свои серверы управления в облачной сети Fastly, показывали жертвам разные сообщения в зависимости от используемой ОС и могли ограничивать повторные загрузки файла, чтобы затруднить анализ.
На сайте, имитировавшем реальный сайт электронной библиотеки (в настоящее время заблокирован), были найдены следы, указывающие на то, что ресурс работал как минимум с декабря 2024 года. То есть атаку готовили много месяцев.
Напомним, что весной 2025 года специалисты «Лаборатории Касперского» обнаружили сложную шпионскую кампанию «Форумный тролль», нацеленную на российские организации. Тогда выяснилось, что атакующие использовали цепочку эксплоитов и 0-day в браузере Chrome, атакуя жертв через фишинговые письма с предложением поучаствовать в форуме «Примаковские чтения».
В ходе расследования исследователи выявили ранее неизвестную малварь LeetAgent и проследили активность группы до 2022 года, а продолжая анализ арсенала злоумышленников, обнаружили еще один вредонос — коммерческое шпионское ПО Dante, созданное итальянской Memento Labs (бывшая Hacking Team). Это первый случай использования Dante в реальных атаках: малварь анонсировали еще в 2023 году, но до сих пор она нигде не встречалась.
Впоследствии глава Memento Labs Паоло Лецци (Paolo Lezzi) подтвердил, что Dante — действительно принадлежит его компании. При этом Лецци обвинил одного из государственных клиентов в раскрытии спайвари, заявив, что тот использовал устаревшую версию.
Как сообщают специалисты «Лаборатории Касперского», на этот раз рассылка фишинговых писем осуществлялась с адреса support@e-library[.]wiki. Домен принадлежал сайту, который имитировал официальный российский портал elibrary.ru.
В сообщениях содержалась ссылка якобы с отчетом, в котором сообщалось, на чем основаны подозрения в плагиате. После нажатия на ссылку открывался ZIP-файл, названный по фамилии получателя. В архиве находились папка .Thumbs с обычными изображениями (предполагается, она была добавлена, чтобы усыпить бдительность адресатов) и ярлык файла с малварью.
Клик на этот ярлык приводил к загрузке вредоноса и его установке на компьютер жертвы. Одновременно с этим открывался нечеткий PDF-файл, который якобы и содержал информацию о плагиате.
В отчете компании отмечается, что финальный фрагмент вредоносного кода включал в себя легальный коммерческий инструмент для редтиминга Tuoni, который часто используется компаниями для тестирования уровня защищенности собственной инфраструктуры. Злоумышленники получали с его помощью удаленный доступ к устройствам жертв и проводили дальнейшие действия внутри сети.
Аналитики отмечают, что атакующие применяли несколько слоев защиты от анализа. К примеру, для закрепления в системе использовалась техника COM Hijacking — малварь прописывалась в ключ реестра HKCR\CLSID\{1f486a52-3cb1-48fd-8f50-b8dc300d9f9d}\InProcServer32. Эту же технику группа применяла в весенних атаках.
Кроме того, эксперты пишут, что атакующие тщательно подготовили свою онлайн-инфраструктуру. Они разместили свои серверы управления в облачной сети Fastly, показывали жертвам разные сообщения в зависимости от используемой ОС и могли ограничивать повторные загрузки файла, чтобы затруднить анализ.
На сайте, имитировавшем реальный сайт электронной библиотеки (в настоящее время заблокирован), были найдены следы, указывающие на то, что ресурс работал как минимум с декабря 2024 года. То есть атаку готовили много месяцев.
Эксперты отмечают снижение сложности атак группы «Форумный тролль». Если весной текущего года злоумышленники использовали цепочку 0-day эксплоитов, то осенью уже полностью полагались на социальную инженерию и более распространенные инструменты вроде Tuoni. Однако подчеркивается, что группа остается активной с 2022 года и продолжает атаковать цели в России и Беларуси.