SiribClone атакует российских военных через Telegram и фейковые сайты
3 мин
26
Российские военнослужащие являются целью атак новой киберпреступной группировки. Обнаружившие её эксперты F6 назвали хакеров SiribClone по метаданным одного из атакующих и утилите rclone. Эту программу с открытым кодом для работы с облачными хранилищами злоумышленники используют в своей деятельности. Атакующие тестировали свои разработки с декабря 2025 года, а первые следы атаки датируются летом 2025 года.
SiribClone распространяет вредоносные файлы для компьютеров и мобильных устройств, используя как приманки приложения для безопасного обмена фотографиями и другие сервисы. Злоумышленники активно используют военную тематику, в том числе знакомятся с военными под видом женщин или предлагают им помощь под видом волонтёров. В январе-феврале хакеры активно общались подобным образом с военными через мессенджеры и платформы знакомств. Их конечной целью являлся сбор данных аккаунтов Telegram, в том числе по местоположению военнослужащих.
В мае 2026 года специалисты ИБ нашли новые файлы SiribClone, распространяемые при открытии документа-приманки на военную тему и скачивающие вредонос с GitHub. Каждый файл представляет собой скрипт PowerShell, работающий как загрузчик. Он помещает во временную папку пользователя библиотеку с GitHub. Эта библиотека крадёт файлы с помощью rclone. Это вредоносное ПО было названо SiribGrabber. Для получения конфигурации библиотека расшифровывает ссылку алгоритмом Base64 и AES CBC. После настройки SiribGrabber собирает логические диски и копирует файлы с заражённого компьютера на удалённое хранилище злоумышленников. Для каждого диска создаётся bat-файл с командой копирования, который закрепляется в системе через реестр Windows.
Эксперты нашли адреса атакующих и профили в GitHub с редкой активностью. Коммиты содержали эксперименты над нагрузкой и разные версии конфигурации. В апреле атакующий добавил команду для кражи сессии Telegram. На найденных адресах разместил страницу входа в менеджер украденных сессий Telegram. Во внутреннем приложении атакующих «Контур» удалось обнаружить список взломанных аккаунтов, а также каналов и чатов жертв. Атакующие добавили возможность заметок по жертвам с описанием личности, геолокации и должности.
Из анализа заметок злоумышленников видно, что цель их атак — военнослужащие Вооружённых сил России, которые находятся на приграничных территориях и в зоне проведения СВО. Задача атакующих — военный шпионаж. На найденных адресах было несколько доменов для фишинговых страниц со входом через Telegram. Специалисты нашли заготовки страниц на разные темы: облачное хранилище, присоединение к каналу, видеоплеер.
Пользователей заманивают на фальшивые страницы, где предлагают ввести номер телефона, код для входа в Telegram и пароль двухфакторной аутентификации. Сервер делает запрос к API Telegram, получает авторизацию и сохраняет строку сессии, которая даёт атакующим полный доступ к аккаунту пользователя. Строку сессии злоумышленники сохраняют в Google Sheets и отправляют на свои серверы.
