<div id="post_message_809854">

Во втором квартале 2025 года специалисты Positive Technologies <a href="https://ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/kvartalnyj-otchet-iyun-2025/" target="_blank">зафиксировали</a> рост активности киберпреступных групп и хактивистов в отношении российских организаций. В качестве первоначального вектора злоумышленники чаще всего использовали фишинговые письма, причем как в распространенных сценариях, так и в 0-day атаках.<br/>
<br/>
Для рассылок злоумышленники часто регистрируют домены, визуально имитирующие легитимные, прибегают к захваченным реальным почтовым ресурсам, либо покупают инфраструктуру у третьих лиц, которым доверяют рассылку фишинга.<br/>
<br/>
В своем отчете исследователи также отмечают рост числа вредоносных файлов, код которых был частично сгенерирован нейросетями. Применяя общедоступные ИИ-сервисы, киберпреступники получают возможность адаптировать и обфусцировать вредоносные модули для обхода классических средств защиты.<br/>
<br/>
Исследователи рассказывают, что группировка TA Tolik отправляла фишинговые письма с архивом, внутри которого был вредоносный файл, замаскированный под официальный документ или уведомление от государственных органов.<br/>
<br/>
При открытии файла на жестком диске устройства жертвы разворачивался набор скриптов. Выдавая свои алгоритмы за легитимные программы, злоумышленники создавали задачи в планировщике и добавляли зловредный код в реестр Windows.<br/>
<br/>
Далее скрипты запускались автоматически, получали команды и модули из реестра, расшифровывали их и загружали вредоносную нагрузку в оперативную память. Такие атаки сложно обнаружить, потому что код скрыт, не хранится в явном виде и активируется только в процессе выполнения.<br/>
<br/>
Другая группировка — Sapphire Werewolf — рассылала фишинговые письма с архивами с помощью бесплатного легитимного сервиса для отправки больших файлов.<br/>
<br/>
При запуске вирусный документ сначала проверял, не попал ли он в песочницу, то есть в изолированную виртуальную среду для динамического анализа. Если угроза подтверждалась, малварь завершала работу.<br/>
<br/>
Группа PhaseShifters также использовала вредонос, который проверял наличие средств защиты в инфраструктуре жертв; в зависимости от результатов параметры последующего запуска малвари модифицировались. Хакеры распространяли программу через фишинговые рассылки от лица Минобрнауки.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/08/549643/Risunok_14_Fishingovoe_pismo_bb9.jpg"><br/>
<br/>
Также высокую активность во втором квартале продемонстрировали и хактивисты. Например, злоумышленники из сообщества Black Owl провели целевую кампанию, приуроченную к транспортно-логистическому форуму. Через специально созданные фишинговые сайты, якобы принадлежащие организаторам мероприятия, распространялось вредоносное ПО.<br/>
<br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">

«Мы систематически регистрируем факты компрометации российских веб-ресурсов. Как показывает практика, хактивисты в основном взламывают небольшие сайты — онлайн-магазины, персональные блоги и региональные информационные порталы. Затем злоумышленники размещают там пропагандистские материалы, перенаправляют трафик на поддельные страницы или внедряют вредоносный код для дальнейшего развития атаки. Некоторые APT-группировки используют взломанные ресурсы для проведения многоступенчатых фишинговых кампаний, а часть злоумышленников продают свои трофеи на теневом рынке», — комментирует Денис Казаков, специалист группы киберразведки TI-департамента экспертного центра безопасности Positive Technologies.

</td>
</tr>
</table>
</div>Source: <a href="https://xakep.ru/2025/08/18/phishing-stats-q2/" target="_blank">https://xakep.ru/2025/08/18/phishing-stats-q2/</a>
</img></div>