«Лаборатория Касперского» проанализировала кампанию кибершпионажа APT-группы Tomiris, активную с начала 2025 года.
Атаки, которые продолжаются до сих пор, нацелены на госсектор, преимущественно дипломатические службы, в России и СНГ. C действиями группы столкнулись более тысячи пользователей.
Чтобы получить первоначальный доступ, злоумышленники рассылают целевые фишинговые письма с вредоносными архивами. Внутри содержится исполняемый файл, замаскированный под различные официальные документы. В одном из обнаруженных писем атакующие просят дать отзыв на проекты, якобы направленные на развитие российских регионов. Если запустить файл из архива, это приведёт к заражению компьютера жертвы.
Больше половины таргетированных фишинговых писем и файлов-приманок в кампании 2025 года содержат текст на русском языке. Из этого следует, что её жертвами в первую очередь должны были стать русскоязычные пользователи и организации. Остальные письма были адаптированы для Туркменистана, Кыргызстана, Таджикистана и Узбекистана и составлены на соответствующих языках.
Для проникновения в систему группа использует разные виды вредоносных имплантов. В большинстве случаев заражение начинается с развёртывания реверс-шеллов, ожидающих дальнейших команд. Они написаны на разных языках программирования.
На следующих этапах атаки импланты устанавливают дополнительные инструменты, включая фреймворки AdaptixC2 и Havoc, для дальнейшей эксплуатации и закрепления в системе. В некоторых случаях в качестве командного сервера используются Telegram и Discord. Вредоносное ПО ищет на заражённых устройствах конфиденциальные данные: злоумышленников, в частности, интересуют файлы с расширениями .jpg, .jpeg, .png, .txt, .rtf, .pdf, .xlsx и .docx.
Источник
Атаки, которые продолжаются до сих пор, нацелены на госсектор, преимущественно дипломатические службы, в России и СНГ. C действиями группы столкнулись более тысячи пользователей.
Чтобы получить первоначальный доступ, злоумышленники рассылают целевые фишинговые письма с вредоносными архивами. Внутри содержится исполняемый файл, замаскированный под различные официальные документы. В одном из обнаруженных писем атакующие просят дать отзыв на проекты, якобы направленные на развитие российских регионов. Если запустить файл из архива, это приведёт к заражению компьютера жертвы.
Больше половины таргетированных фишинговых писем и файлов-приманок в кампании 2025 года содержат текст на русском языке. Из этого следует, что её жертвами в первую очередь должны были стать русскоязычные пользователи и организации. Остальные письма были адаптированы для Туркменистана, Кыргызстана, Таджикистана и Узбекистана и составлены на соответствующих языках.
Для проникновения в систему группа использует разные виды вредоносных имплантов. В большинстве случаев заражение начинается с развёртывания реверс-шеллов, ожидающих дальнейших команд. Они написаны на разных языках программирования.
На следующих этапах атаки импланты устанавливают дополнительные инструменты, включая фреймворки AdaptixC2 и Havoc, для дальнейшей эксплуатации и закрепления в системе. В некоторых случаях в качестве командного сервера используются Telegram и Discord. Вредоносное ПО ищет на заражённых устройствах конфиденциальные данные: злоумышленников, в частности, интересуют файлы с расширениями .jpg, .jpeg, .png, .txt, .rtf, .pdf, .xlsx и .docx.
Источник
