Оффлайн
- Регистрация
- 9 Май 2015
- Сообщения
- 1,483
- Баллы
- 155
С мая по июль 2025 года специалисты Positive Technologies в российских организациях более 180 зараженных систем. Вредоносная активность исходила от группировки PhantomCore и была направлена исключительно на российскую критически значимую инфраструктуру.
В числе скомпрометированных организаций были госучреждения, научно-исследовательские институты, предприятия оборонно-промышленного комплекса, судостроительной отрасли, химической, горнодобывающей и обрабатывающей промышленности, а также IT-компании.
Первое заражение датируется 12 мая 2025 года, а наибольшей интенсивности атаки достигли в июне, при этом 56% всех заражений пришлось на 30 июня.
Исследователи пишут, что в среднем группировка находилась в скомпрометированных сетях 24 дня, максимально — 78 дней. При этом как минимум 49 хостов до сих пор остаются под контролем злоумышленников.
По данным экспертов, APT-группировка PhantomCore активна с начала 2024 года и нацелена на получение доступа к конфиденциальной информации. Атаки хакеров отличаются значительным масштабом и избирательностью: в числе жертв российские организации из ключевых отраслей экономики и сферы государственного управления.
Отмечается, что PhantomCore располагает внушительным наступательным арсеналом: от популярных опенсорсных утилит и обновленных версий известных инструментов до ранее не встречавшихся образцов собственной разработки. Такое разнообразие малвари помогает хакерам долгое время оставаться незамеченными в зараженных сетях. Кроме того, отмечается, что вредоносная инфраструктура группировки строго сегментирована по функциям и классам инструментов, которыми она управляет.
География вредоносной инфраструктуры PhantomCore характеризуется тем, что почти половина серверов (48%) расположены в России, преимущественно в сетях трех российских провайдеров. Доля зарубежной инфраструктуры составляет 52% и практически равномерно распределена между Финляндией, Францией, Нидерландами, США, Германией, Гонконгом, Молдавией и Польшей. При этом 33% всей инфраструктуры сосредоточены в сетях канадского провайдера.
В отчете подчеркивается, что эксперты идентифицировали жертв и уведомили их о киберугрозах до наступления недопустимых событий.