28/11/25
«Лаборатория Касперского» проанализировала кампанию кибершпионажа APT-группы Tomiris, активную с начала 2025 года. Атаки, которые продолжаются до сих пор, нацелены на госсектор, преимущественно дипломатические службы, в России и СНГ. C действиями группы столкнулись более тысячи пользователей.
Классическая приманка. Чтобы получить первоначальный доступ, злоумышленники рассылают целевые фишинговые письма с вредоносными архивами. Внутри содержится исполняемый файл, замаскированный под различные официальные документы. В одном из обнаруженных писем атакующие просят дать отзыв на проекты, якобы направленные на развитие российских регионов. Если запустить файл из архива, это приведёт к заражению компьютера жертвы.
Цели. Больше половины таргетированных фишинговых писем и файлов-приманок в кампании 2025 года содержат текст на русском языке. Из этого следует, что её жертвами в первую очередь должны были стать русскоязычные пользователи и организации. Остальные письма были адаптированы для Туркменистана, Кыргызстана, Таджикистана и Узбекистана и составлены на соответствующих языках.
Как происходит атака. Для проникновения в систему группа использует разные виды вредоносных имплантов. В большинстве случаев заражение начинается с развёртывания реверс-шеллов, ожидающих дальнейших команд. Они написаны на разных языках программирования. На следующих этапах атаки импланты устанавливают дополнительные инструменты, включая фреймворки AdaptixC2 и Havoc, для дальнейшей эксплуатации и закрепления в системе. В некоторых случаях в качестве командного сервера используются Telegram и Discord. Вредоносное ПО ищет на заражённых устройствах конфиденциальные данные: злоумышленников, в частности, интересуют файлы с расширениями .jpg, .jpeg, .png, .txt, .rtf, .pdf, .xlsx и .docx.
«Тактики Tomiris явно эволюционировали: они направлены на то, чтобы максимально скрыть вредоносную активность, а также долгосрочно закрепиться в системе. Этому, в том числе, способствует использование вредоносных имплантов на разных языках. Группа стала чаще полагаться на инструменты, которые задействуют в качестве командных серверов общедоступные сервисы, такие как Telegram и Discord. Вероятнее всего, так злоумышленники пытаются скрыть вредоносный трафик среди легитимной активности этих сервисов», — комментирует Олег Купреев, эксперт по кибербезопасности в «Лаборатории Касперского».
Впервые о деятельности группы Tomiris эксперты «Лаборатории Касперского» рассказали в 2021 году. Ранее она атаковала государственные учреждения в СНГ, а основной целью злоумышленников была кража внутренних документов.
Решения «Лаборатории Касперского» защищают от данной угрозы и помечают её следующими именами: HEUR:Backdoor.Win64.RShell.gen; HEUR:Backdoor.MSIL.RShell.gen; HEUR:Backdoor.Win64.Telebot.gen; HEUR:Backdoor.Python.Telebot.gen; HEUR:Trojan.Win32.RProxy.gen; HEUR:Trojan.Win32.TJLORT.a; HEUR:Backdoor.Win64.AdaptixC2.a.
Подробнее — в статье на Securelist.
