Шпионаж стал целью 42% кибератак в первом квартале 2026 года
3 мин
15
Доля кибератак, совершаемых с целью шпионажа, растёт. Как зафиксировали специалисты BI.ZONE, в первом квартале текущего года она достигла 42%, то есть прибавила 5 процентных пунктов по сравнению с аналогичным периодом предыдущего года.
Для злоумышленников, реализующих подобные атаки, характерно длительное скрытое присутствие в инфраструктуре. В 60% всех выявленных случаев шпионажа присутствовала скрытая компрометация. Кибершпионы часто экспериментируют с инструментами и разрабатывают собственное вредоносное программное обеспечение, чтобы увеличить шансы на успешную атаку.
В начале весны эксперты зафиксировали повышенную активность кластера Paper Werewolf, атакующего российские промышленный, финансовый и транспортный сектора. Для атак злоумышленники использовали новые самописные инструменты. Paper Werewolf активно экспериментирует с цепочками атак, используя фишинговые документы в формате PDF, установщики и различные загрузчики для доставки вредоносной нагрузки. Кластер обладает высоким уровнем подготовки и технической зрелости, а также продолжает разработку собственных имплантов для фреймворка постэксплуатации Mythic и применяет собственный стилер PaperGrabber, позволяющий собирать данные из Telegram, файлы с локальных, сетевых и съёмных дисков.
Одна из фишинговых кампаний Paper Werewolf была нацелена на промышленные и финансовые организации. Открывая файл, вложенный в письмо, жертвы фактически запускали троян удалённого доступа EchoGather.
Вредоносное программное обеспечение позволяло атакующим собирать системную информацию о скомпрометированном устройстве, загружать и отправлять файлы на управляющий сервер, а также выполнять команды. Весь процесс атакующие замаскировали под установку Adobe Acrobat Reader.
Летом 2025 года эта хакерская группировка применяла для атак уязвимости в WinRAR. К фишинговым письмам прилагались архивы в формате RAR якобы с важными документами, а на самом деле с вредоносным программным обеспечением. Злоумышленники воспользовались двумя уязвимостями в WinRAR, которые позволяли при распаковке архива устанавливать вредоносное программное обеспечение на скомпрометированное устройство незаметно для жертвы. Целями этой волны атак стали организации из России и Узбекистана.
