Эксперты "Лаборатории Касперского" обнаружили крупную кампанию кибершпионажа, проводимую APT-группой Tomiris с начала 2025 года. Злоумышленники нацелены на государственные учреждения и дипломатические ведомства России и Содружества Независимых Государств. Для взлома используется продвинутый фишинг с вредоносными вложениями.
Широкий охват целевьіх атак
Tomiris активно атакует представительства и правительственные структуры в РФ и СНГ. Только за ноябрь 2025 года с активностью группы столкнулись свыше тысячи пострадавших. Злоумышленники демонстрируют высокую активность и системный подход к проникновению.
Изощренная тактика фишинга
Для первичного заражения применяются персонализированные письма с архивными вложениями. Внутри архивов содержатся файлы, замаскированные под официальные документы с актуальной тематикой, например, просьбой оценить "Проекты развития российских регионов". При открытии происходит скрытая установка вредоносного ПО. Аналитики подчеркивают: угроза эффективно нейтрализуется при своевременном обновлении защитных решений.
Языковая адаптация как инструмент атаки
Более половины фишинговых материалов выполнены на русском языке, что подтверждает фокусировку на русскоязычных организациях. Остальные письма локализованы для Туркменистана, Киргизии, Таджикистана и Узбекистана. Такая стратегия увеличивает доверие со стороны жертв.
История деятельности группы
Специалисты "Лаборатории Касперского" впервые зафиксировали активность Tomiris в 2021 году. Ранее группа также специализировалась на компрометации государственных структур в СНГ, преимущественно для хищения конфиденциальных документов. Современные методы защиты позволяют эффективно противостоять их тактике.
Тактика APT-группы Tomiris
Для закрепления в системах злоумышленники используют разнообразные вредоносные программы. Сначала внедряются утилиты обратной связи (reverse shell), созданные на нескольких языках программирования. Затем развертываются дополнительные инструменты, включая фреймворки командования AdaptixC2 и Havoc.
Иногда для управления атакой злоумышленники используют публичные платформы, такие как Telegram и Discord. Это позволяет скрывать вредоносную интернет-активность среди обычного трафика этих популярных сервисов.
Основная цель вредоносного программного обеспечения — поиск и кража конфиденциальных файлов, особенно с расширениями .jpg, .jpeg, .png, .txt, .rtf, .pdf, .xlsx и .docx.
Эффективная защита от фишинга: Ваши надежные правила
Всегда заряжены бдительностью при передаче важных данных! Получив письмо от банка или известной компании, воздержитесь от перехода по ссылкам внутри. Откройте браузер и введите официальный адрес вручную — это гарантированный путь к настоящему сайту.
Не поддавайтесь на тревожные послания! Ни один уважаемый финансовый институт или страховая компания не станет запрашивать пароли, данные карт или учетные сведения по электронной почте. При малейшем подозрении на фишинг удалите письмо и перезвоните в организацию по официальному номеру (указанному в договоре, на платежной карте или сайте).
Осторожно с вложениями! Избегайте открытия файлов из подозрительных писем или от незнакомцев, особенно документов Word, Excel, PowerPoint и PDF.
Ссылки — под запретом! Переход по ним может загрузить вредоносное ПО. Будьте бдительны с письмами от партнеров или других отправителей. Никогда не кликайте на ссылки внутри. Вместо этого откройте сайт партнера вручную и проверьте информацию напрямую в их документации.
Обновления — ваш щит! Регулярно обновляйте программное обеспечение и операционные системы. Платформа Windows — частый объект атак, поэтому старайтесь использовать актуальную версию (например, Windows 11) и своевременно закрывайте уязвимости.
Сильная защита — готовое решение
Современные решения для кибербезопасности надежно распознают такие угрозы и обеспечивают всестороннюю защиту.
Наша защита активно нейтрализует цифровые угрозы!
Безопасность пользователей – наш абсолютный приоритет! Современные эвристические алгоритмы уверенно распознают разнообразные риски:
HEUR:Backdoor.Win64.RShell.gen;
HEUR:Backdoor.MSIL.RShell.gen;
HEUR:Backdoor.Win64.Telebot.gen;
HEUR:Backdoor.Python.Telebot.gen;
HEUR:Trojan.Win32.RProxy.gen;
HEUR:Trojan.Win32.TJLORT.a;
HEUR:Backdoor.Win64.AdaptixC2.a.
Технологии безопасности работают на вашу защиту круглосуточно
Повторное обнаружение этих элементов лишь подтверждает высокую эффективность защитных механизмов. Мы непрерывно совершенствуем систему для вашего спокойствия:
HEUR:Backdoor.Win64.RShell.gen;
HEUR:Backdoor.MSIL.RShell.gen;
HEUR:Backdoor.Win64.Telebot.gen;
HEUR:Backdoor.Python.Telebot.gen;
HEUR:Trojan.Win32.RProxy.gen;
HEUR:Trojan.Win32.TJLORT.a;
HEUR:Backdoor.Win64.AdaptixC2.a.
Ваши устройства под надёжной охраной – работайте и отдыхайте с уверенностью!
