Это не баг — это вторжение. Cobalt Strike атакует через GitHub и соцсети — цель — российский бизнес
NewsMakerФишинг от имени госкомпаний стал прикрытием.
«Лаборатория Касперского» сообщила об очередной волне кибератак с использованием Cobalt Strike Beacon — легитимного инструмента для удалённого управления, который активно применяется для компрометации систем и кражи данных. Вредоносное ПО распространяется через зашифрованный код, размещённый в профилях на популярных цифровых платформах, таких как GitHub, Microsoft Learn Challenge, Quora и российские соцсети.
Подобные атаки впервые зафиксированы во второй половине 2024 года. Тогда их целью стали организации в России, Китае, Японии, Малайзии и Перу. В 2025 году активность снизилась, однако специалисты продолжают наблюдать всплески — в июле зафиксированы новые случаи, нацеленные исключительно на российские компании, в основном среднего и крупного бизнеса.
Атака начинается с фишинговых писем от имени якобы крупных госкомпаний, в частности из нефтегазовой отрасли. В письмах предлагается ознакомиться с техническими требованиями — во вложении находится архив с вредоносными файлами EXE и DLL, замаскированными под документы формата PDF.
Для запуска вредоносного кода используется метод подмены библиотек DLL, а также легитимная утилита для сбора отчётов о сбоях в приложениях. Вместо отчёта она загружает и запускает вредоносный файл.
Чтобы продолжить выполнение, вредонос извлекает зашифрованный код с внешних платформ. Специалисты обнаружили его в публичных репозиториях и профилях на GitHub, а также по ссылкам в контенте, размещённом на других платформах. Учётные записи, по всей видимости, были созданы специально для атаки. Также возможны и другие схемы — например, размещение вредоносного кода в комментариях к сообщениям настоящих пользователей.
В результате выполнения вредоносного кода на устройстве жертвы активируется Cobalt Strike Beacon, после чего система оказывается скомпрометирована. Специалисты подчёркивают, что атаки становятся всё более сложными, даже несмотря на использование уже известных инструментов, и рекомендуют организациям внимательно следить за актуальной информацией о киберугрозах и регулярно проверять безопасность всей цифровой инфраструктуры.
«Лаборатория Касперского» сообщила об очередной волне кибератак с использованием Cobalt Strike Beacon — легитимного инструмента для удалённого управления, который активно применяется для компрометации систем и кражи данных. Вредоносное ПО распространяется через зашифрованный код, размещённый в профилях на популярных цифровых платформах, таких как GitHub, Microsoft Learn Challenge, Quora и российские соцсети.
Подобные атаки впервые зафиксированы во второй половине 2024 года. Тогда их целью стали организации в России, Китае, Японии, Малайзии и Перу. В 2025 году активность снизилась, однако специалисты продолжают наблюдать всплески — в июле зафиксированы новые случаи, нацеленные исключительно на российские компании, в основном среднего и крупного бизнеса.
Атака начинается с фишинговых писем от имени якобы крупных госкомпаний, в частности из нефтегазовой отрасли. В письмах предлагается ознакомиться с техническими требованиями — во вложении находится архив с вредоносными файлами EXE и DLL, замаскированными под документы формата PDF.
Для запуска вредоносного кода используется метод подмены библиотек DLL, а также легитимная утилита для сбора отчётов о сбоях в приложениях. Вместо отчёта она загружает и запускает вредоносный файл.
Чтобы продолжить выполнение, вредонос извлекает зашифрованный код с внешних платформ. Специалисты обнаружили его в публичных репозиториях и профилях на GitHub, а также по ссылкам в контенте, размещённом на других платформах. Учётные записи, по всей видимости, были созданы специально для атаки. Также возможны и другие схемы — например, размещение вредоносного кода в комментариях к сообщениям настоящих пользователей.
В результате выполнения вредоносного кода на устройстве жертвы активируется Cobalt Strike Beacon, после чего система оказывается скомпрометирована. Специалисты подчёркивают, что атаки становятся всё более сложными, даже несмотря на использование уже известных инструментов, и рекомендуют организациям внимательно следить за актуальной информацией о киберугрозах и регулярно проверять безопасность всей цифровой инфраструктуры.