Безопасность Cobalt Strike возвращается: злоумышленники атакуют российские организации, размещая вредоносный код на GitHub и в соцсетях «Лаборатория Касперского» обнаружила новые случаи кибератак на российские организации с использованием Cobalt Strike Beacon — инструмента для удалённого управления устройствами, который в том числе позволяет красть конфиденциальные данные.
Для обхода обнаружения и запуска вредоносного ПО злоумышленники размещают зашифрованный код в профилях на легитимных сервисах, таких как GitHub, а также в соцсетях.
Подобные кибератаки впервые начались во второй половине 2024 г. — они затронули Россию, Китай, Японию, Малайзию и Перу.
К 2025 г. активность злоумышленников пошла на спад, однако специалисты продолжили фиксировать точечные всплески.
В июле эксперты обнаружили новые вредоносные файлы, нацеленные только на российские предприятия — в основном крупный и средний бизнес.
Классическая приманка.
Сначала злоумышленники рассылают фишинговые письма, имитирующие сообщения от крупных государственных компаний (в частности, из нефтегазового сектора), которые якобы заинтересованы в продуктах или услугах организаций-жертв.
Во вложении находится вредоносный архив с файлами, замаскированными под PDF-документы с описанием требований, необходимых для ознакомления.
На самом деле среди них есть исполняемые файлы типов EXE и DLL, содержащие вредоносное вложение.
Инструменты.
Чтобы запустить зловред, атакующие используют распространённый метод подмены DLL (Dynamic Link Library), а также легитимную утилиту для отправки отчётов о сбоях — изначально она была создана для разработчиков, чтобы получать информацию о проблемах в работе приложений в режиме реального времени.
В результате манипуляций атакующих она открывает вредоносный файл вместо легитимного.
Чтобы вредоносное ПО могло далее функционировать, оно извлекает и загружает код, который хранится в зашифрованном виде в публичных профилях на популярных легитимных платформах.
Специалисты «Лаборатории Касперского» обнаружили его в репозиториях на GitHub, кроме того, ссылки на него в зашифрованном виде содержались внутри профилей на GitHub, Microsoft Learn Challenge, Quora, а также в российских соцсетях.
Все эти профили и страницы были созданы специально для осуществления кибератаки.
После выполнения вредоносного кода на устройствах жертв запускается Cobalt Strike Beacon — и системы оказываются скомпрометированы. «Мы не обнаружили свидетельств того, что злоумышленники взламывали аккаунты реальных людей, и полагаем, что все учётные записи были специально созданы для кибератак.
При этом отмечу, что они могли задействовать цифровые платформы и по-другому.
Например, разместить вредоносный контент в комментариях к сообщениям легитимных пользователей.
Эти примеры подтверждают, что схемы атак усложняются несмотря на то, что инструменты остаются прежними.
Поэтому компаниям для обеспечения надёжной защиты важно следить за актуальными данными о киберугрозах и осуществлять постоянный мониторинг состояния как цифровой инфраструктуры, так и всего периметра организации», — сказал Максим Стародубов, эксперт по киберугрозам «Лаборатории Касперского».
Чтобы снизить риски в случае подобных кибератак, «Лаборатория Касперского» также рекомендует организациям: установить защитное решение, которое обнаруживает и блокирует вредоносный контент, отправленный через электронную почту, такое как Kaspersky Secure для почтовых серверов; регулярно проводить тренинги по кибербезопасности для сотрудников, в том числе обучать их распознавать фишинг, например, с помощью онлайн-платформы Kaspersky Automated Security Awareness Platform; использовать комплексное решение для защиты корпоративных устройств, которое позволяет обнаружить и остановить кибератаки на ранних стадиях, например, из линейки Kaspersky Symphony.
Более подробная информация о киберугрозе представлена в отчёте «Cobalt Strike Beacon с доставкой через GitHub и соцсети».
Почём сегодня объектное хранилище на 2 000 Гб?