Positive Technologies обнаружила уникальные инструменты APT-группировки, атакующей телеком-компании в странах СНГ

Специалисты департамента киберразведки экспертного центра безопасности Positive Technologies (PT ESC TI) зафиксировали атаки на телекоммуникационные компании в Кыргызстане и Таджикистане. Злоумышленники рассылали фишинговые письма с документами и ссылками, содержавшими вредоносный код. Хакеры маскировали вредоносы под легитимные компоненты Microsoft Windows.

В сентябре 2025 года злоумышленники направили фишинговые письма в организации в Кыргызстане. Сообщения рассылались якобы от лица потенциальных клиентов, которые хотели узнать о тарифах мобильной связи. К письмам прикреплялся документ, при открытии которого появлялось изображение с текстом на русском языке. В нем говорилось, что для снятия защиты с файла пользователю нужно запустить некий скрипт (по факту — вредоносный). Скрипт загружал бэкдор LuciDoor, который устанавливал соединение с управляющим сервером. Если подключиться напрямую не получалось, вредонос делал это через системные прокси или другие серверы в инфраструктуре жертвы. Установив соединение, LuciDoor собирал базовую информацию об устройстве, загружал программы, выводил данные.

В ноябре 2025-го атаки на Кыргызстан повторились по тому же сценарию, однако в этот раз группировка использовала бэкдор MarsSnake. Вредонос примечателен тем, что его конфигурацию можно изменять без пересборки исполняемого файла (достаточно обновить параметры в загрузчике); это экономит злоумышленникам время. Закрепившись на устройстве жертвы, бэкдор собирает информацию о системе, вычисляет ее уникальный идентификатор, передает данные управляющему серверу.

«Интересно, что в атаках прошлого года вредоносные документы были на русском языке, при этом в настройках фигурировали арабский, английский и китайский. В файлах мы также обнаружили поле, свидетельствующее об использовании китайского языка. Вероятно, у злоумышленников установлен пакет Microsoft Office с соответствующим параметром или они применили шаблон документа на китайском», — рассказал Александр Бадаев, специалист группы киберразведки TI-департамента Positive Technologies.

В январе 2026 года хакеры переключились на телекоммуникационные организации в Таджикистане. Вместо документа злоумышленники прикрепляли к фишинговым письмам вредоносную ссылку, ведущую на файл с обновленной картинкой (текст на ней был на английском языке). В этих атаках группировка вновь использовала бэкдор LuciDoor, изменив его конфигурацию.

Для защиты от подобных атак эксперты Positive Technologies рекомендуют компаниям повышать киберграмотность сотрудников и проводить тренировочные рассылки, которые научат определять фишинговые письма. Кроме того, специалисты подчеркивают необходимость комплексной защиты конечных устройств с помощью антивирусных технологий (MaxPatrol EPP) и продуктов для выявления сложных атак и реагирования на них (MaxPatrol EDR). Системы анализа сетевого трафика, в частности PT NAD, способны интегрироваться с песочницами, извлекать вложения из электронных писем и отправлять их на проверку по ICAP. Так, PT Sandbox анализирует вложения и отображает вердикт в интерфейсе продукта PT NAD, позволяя обнаружить вредоносный файл еще до того, как пользователь его откроет.

Эксперты PT ESC Malware Detection также выпустили правила для PT NAD и PT NGFW. Они позволяют обнаруживать запросы, свидетельствующие о взаимодействии LuciDoor и MarsSnake с C2-серверами, а в случае с PT NGFW — и блокировать их. MaxPatrol SIEM сможет зафиксировать инцидент, а при наличии интеграции с PT NAD и другими продуктами позволит увидеть подробные данные об атаке.

Во время фишинга злоумышленники часто эксплуатируют уязвимости для повышения привилегий, поэтому укрепить киберустойчивость организации также поможет система управления уязвимостями — MaxPatrol VM. Ключевые данные о киберугрозах можно найти на портале PT Fusion.