Газета.ру
ГЛАВНАЯНОВОСТИПОЛИТИКАБИЗНЕСОБЩЕСТВОАРМИЯМНЕНИЯКУЛЬТУРА
НовыеЛучшиеОбсуждаемыеКомментарииУчастники сайта
Рубрики
cookingКулинарияfamilyДети и семьяshowШоу-бизнесpoliticsПолитикаhealthЗдоровье
Моя лента
ЧАТЫЧАТЫОпросыОпросыБлогерыБлогерыГлас народаГлас народаПопулярноеПопулярноеОбсуждаемоеОбсуждаемое
Мессенджер МТО компанииО компанииО редакции ГлагоLО редакции ГлагоLНовостиНовостиПартнерамПартнерамРекламодателямРекламодателямОбратная связьОбратная связьПожаловаться на спамПожаловаться на спамСоглашениеСоглашениеРекомендательные технологииРекомендательные технологии

На информационном ресурсе применяются рекомендательные технологии (информационные технологии предоставления информации на основе сбора, систематизации и анализа сведений, относящихся к предпочтениям пользователей сети "Интернет", находящихся на территории Российской Федерации)

Газета.ру

8 676 подписчиков

Популярные статьи

Свежие комментарии

  • YYYYYYY XXXXXXX
    Тремпач маладес.....Трамп: США домини...
  • Владимир Соловьев
    НА ПОСЛЕДНЕЙ НЫНЕШНЕЙ СВОЕЙ СТАДИИ  ДЕГРАДАЦИИ НАТО СИЛЬНО НАДЕЯЛИСЬ РУКАМИ АМЕРИКИ ПОВОЕВАТЬ С РОССИЕЙ. БОЛЬШЕ ТРИДЦ...Steigan: НАТО в с...
  • Акимова Татьяна
    Сделайте вышку бесплатной с целевыми программами.Политолог Орлов: ...

Kaspersky: группа Tomiris усилила атаки на госструктуры в России и странах СНГ

"Лаборатория Касперского" выявила продолжающуюся с начала года кампанию кибершпионажа, организованную APT-группой Tomiris. Основными целями атак стали государственные учреждения и дипломатические службы в России и странах СНГ, рассказали в компании "Газете.Ru".

Для первичного доступа злоумышленники используют целевые фишинговые рассылки с вредоносными архивами.

Вложенные исполняемые файлы маскируются под официальные документы, содержание которых адаптируется под конкретную организацию и страну. Одной из зафиксированных приманок стали письма с просьбой дать отзыв на проекты, якобы связанные с развитием российских регионов. Запуск файла приводит к инфицированию устройства.

Анализ показал, что более половины писем и файлов-приманок в кампаниях 2025 года содержат тексты на русском языке, что указывает на приоритетную ориентацию атак на русскоязычные организации. Остальная часть рассылок была адаптирована для Туркменистана, Кыргызстана, Таджикистана и Узбекистана с использованием национальных языков.

Для закрепления в системах Tomiris применяет многоуровневую инфраструктуру. На начальном этапе используются реверс-шеллы, написанные на разных языках программирования, после чего разворачиваются дополнительные инструменты, включая фреймворки AdaptixC2 и Havoc. В ряде случаев в качестве командных серверов злоумышленники используют общедоступные платформы Telegram и Discord. Вредоносное ПО ориентировано на поиск и эксфильтрацию конфиденциальных данных, включая файлы форматов .jpg, .jpeg, .png, .txt, .rtf, .pdf, .xlsx и .docx.

"Тактики Tomiris в новых кампаниях явно эволюционировали: они направлены на то, чтобы максимально скрыть вредоносную активность, а также долгосрочно закрепиться в системе.

Этому, в том числе, способствует использование вредоносных имплантов на разных языках. Группа стала чаще полагаться на инструменты, которые используют в качестве командных серверов общедоступные сервисы, такие как Telegram и Discord. Вероятнее всего, так злоумышленники пытаются скрыть вредоносный трафик среди легитимной активности этих сервисов", — заявил эксперт по кибербезопасности в "Лаборатории Касперского" Олег Купреев.

Впервые о деятельности Tomiris специалисты компании сообщили в 2021 году. Ранее группа также фокусировалась на атаках на государственные структуры в СНГ, основной целью которых была кража внутренних документов.

 

Ссылка на первоисточник
наверх