APT-группировка атаковала операторов связи в СНГ с помощью двух разных бэкдоров
Специалисты департамента киберразведки экспертного центра безопасности Positive Technologies (PT ESC TI) зафиксировали атаки на телекоммуникационные компании в Кыргызстане и Таджикистане. Злоумышленники рассылали фишинговые письма с документами и ссылками, содержавшими вредоносный код.
В сентябре 2025 года хакеры направили фишинговые письма в организации в Кыргызстане якобы от лица потенциальных клиентов, интересовавшихся тарифами мобильной связи. К письмам прилагался документ, при открытии которого появлялось изображение с текстом на русском языке. Пользователю предлагалось запустить скрипт (вредоносный) для снятия защиты с файла. Скрипт загружал бэкдор LuciDoor, который устанавливал соединение с управляющим сервером. При невозможности прямого подключения вредонос действовал через системные прокси или другие серверы в инфраструктуре жертвы. После установки соединения LuciDoor собирал базовую информацию об устройстве, загружал программы и выводил данные.
В ноябре 2025 года атаки на Кыргызстан повторились по аналогичному сценарию, однако в этот раз группировка применила бэкдор MarsSnake. Как сообщили в Positive Technologies, его конфигурацию можно изменять без пересборки исполняемого файла, обновляя параметры в загрузчике. После закрепления в системе бэкдор собирает информацию об устройстве, вычисляет его уникальный идентификатор и передает данные управляющему серверу.
В январе 2026 года хакеры переключились на телекоммуникационные организации в Таджикистане. В этот раз к фишинговым письмам прикреплялась вредоносная ссылка на файл с изображением и текстом на английском языке. В этих атаках группировка вновь использовала бэкдор LuciDoor с измененной конфигурацией.
В ходе анализа специалисты обратили внимание на настройки вредоносных документов. В сообщении компании отмечается, что хотя документы были на русском языке, в настройках фигурировали арабский, английский и китайский. В файлах также было обнаружено поле, указывающее на использование китайского языка. Это может свидетельствовать о том, что у злоумышленников установлен пакет Microsoft Office с соответствующим параметром или использован шаблон документа на китайском.
В Positive Technologies рекомендуют компаниям повышать киберграмотность сотрудников и проводить тренировочные рассылки для выявления фишинговых писем. Также подчеркивается необходимость комплексной защиты конечных устройств с помощью антивирусных технологий и продуктов для выявления сложных атак и реагирования на них.
Специалисты PT ESC Malware Detection выпустили правила для PT NAD и PT NGFW, позволяющие обнаруживать запросы, свидетельствующие о взаимодействии LuciDoor и MarsSnake с C2-серверами, а в случае с PT NGFW — блокировать их. MaxPatrol SIEM, как уточняется в сообщении, способен зафиксировать инцидент, а при интеграции с PT NAD позволяет получить подробные данные об атаке.
Читайте также
