Кибергруппировка Tomiris активизировала атаки на госучреждения России и СНГ

Кибергруппировка Tomiris с начала 2025 года проводит серию атак на государственные учреждения, преимущественно дипломатические службы, в России и странах СНГ. По данным «Лаборатории Касперского», с действиями этой группы столкнулись более тысячи пользователей. Для первоначального доступа злоумышленники используют фишинговые письма с вредоносными архивами, содержащими исполняемый файл, замаскированный под официальные документы. Например, в одном из писем просят дать отзыв на проекты по развитию российских регионов. Запуск файла из архива приводит к заражению компьютера жертвы. Более половины таргетированных фишинговых писем и файлов-приманок в кампании 2025 года содержат текст на русском языке. Это указывает на то, что основными целями атак являются русскоязычные пользователи и организации. Остальные письма адаптированы для Туркменистана, Киргизии, Таджикистана и Узбекистана и составлены на соответствующих языках. Для проникновения в систему группа использует различные вредоносные импланты. В большинстве случаев заражение начинается с развёртывания реверс-шеллов, ожидающих дальнейших команд. Они написаны на разных языках программирования. На следующих этапах атаки импланты устанавливают дополнительные инструменты, включая фреймворки AdaptixC2 и Havoc, для дальнейшей эксплуатации и закрепления в системе. В некоторых случаях в качестве командного сервера используются Telegram и Discord. Вредоносное ПО ищет на заражённых устройствах конфиденциальные данные, в частности, файлы с расширениями .jpg, .jpeg, .png, .txt, .rtf, .pdf, .xlsx и .docx. По словам эксперта по кибербезопасности в «Лаборатории Касперского» Олега Купреева, тактика Tomiris эволюционировала: злоумышленники стремятся максимально скрыть вредоносную активность и долгосрочно закрепиться в системе. Использование вредоносных имплантов на разных языках и инструментов, задействующих общедоступные сервисы в качестве командных серверов, позволяет им скрывать вредоносный трафик среди легитимной активности этих сервисов. Впервые о деятельности группы Tomiris эксперты «Лаборатории Касперского» рассказали в 2021 году. Тогда злоумышленники атаковали государственные учреждения в СНГ с целью кражи внутренних документов. Решения «Лаборатории Касперского» обеспечивают защиту от этой угрозы и обнаруживают её с помощью следующих вердиктов: HEUR:Backdoor.Win64.RShell.gen; HEUR:Backdoor.MSIL.RShell.gen; HEUR:Backdoor.Win64.Telebot.gen; HEUR:Backdoor.Python.Telebot.gen; HEUR:Trojan.Win32.RProxy.gen; HEUR:Trojan.Win32.TJLORT.a; HEUR:Backdoor.Win64.AdaptixC2.a.