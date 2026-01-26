Интеграция
Цифровая трансформация в нестабильное время — пять полезных лайфхаков
Бизнес
Российский бизнес активно движется по пути цифровой трансформации
ИТ-бизнес
Обзор МФУ Sharp MX-2651EU: обновленная линейка

CNews Аналитика Конференции Маркет Техника ТВ

Спецпроекты

Безопасность
|

Шпионы Vortex Werewolf мимикрируют под Telegram

В декабре 2025 г. — январе 2026 г. специалисты Bi.Zone Threat Intelligence зафиксировали серию атак группировки Vortex Werewolf, нацеленных на оборонно-промышленные предприятия (ОПК) и органы государственного управления. Атаки начинались с очень правдоподобного фишинга: жертве предлагали скачать «важные рабочие документы» по ссылке, выглядевшей как файловое хранилище Telegram. На самом деле переход по ссылке позволял злоумышленникам установить на Windows-устройство пользователя вредоносное ПО, а также перехватить доступ к его телеграм-аккаунту. Об этом CNews сообщили представители Bi.Zone.

Ряд признаков указывают на то, что фишинговую ссылку злоумышленники отправляли пользователю напрямую в Telegram, но могли также использовать электронную почту.

Если пользователь переходил по ссылке, запускался процесс восстановления доступа к его телеграм-аккаунту. Жертву просили ввести код, полученный на другом устройстве, а если учетная запись была защищена двухфакторной аутентификацией, то еще и облачный пароль, якобы для того, чтобы документ мог отобразиться полностью. На самом деле таким образом атакующие получали доступ к активной сессии Telegram, всем перепискам и контактам пользователя.

Олег Скулкин, руководитель Bi.Zone Threat Intelligence: «Компрометация телеграм-аккаунтов может быть интересна злоумышленникам сразу по нескольким причинам. Полученные контакты можно использовать для дальнейшей рассылки фишинговых ссылок, причем делать это с угнанного аккаунта, чтобы сообщения выглядели достоверно и не вызывали подозрений. Кроме того, многие пользователи до сих пор хранят в «Избранном» фото и сканы документов, ссылки на рабочие ресурсы, нередко даже логины и пароли — словом, важную информацию, которая должна быть под рукой. К сожалению, этим активно пользуются атакующие, для которых такие сведения представляют большую ценность».

Однако одним угоном аккаунта преступники не ограничивались. После того как пользователь вводил необходимые коды и пароли, на его устройство загружался ZIP-архив. Внутри находился вредоносный файл, замаскированный под PDF-документ, а также скрытый каталог с еще одним архивом, который содержал множество файлов. Открывая «документ», пользователь запускал вредоносный скрипт, который в конечном счете предоставлял злоумышленникам удаленный доступ к системе. Чтобы управлять устройством скрытно, злоумышленники устанавливали на него OpenSSH и Tor. OpenSSH — легитимный инструмент для безопасного удаленного подключения, но злоумышленники использовали его для связи со своим командным сервером. Чтобы скрыть это соединение, атакующие перенаправляли весь трафик через Tor.

Основная цель группировки Vortex Werewolf — шпионаж. Кластер активен как минимум с декабря 2024 г. Незадолго до зимней серии атак на Россию исследователи Cyble и Secrite выявили похожую кампанию этой группировки, нацеленную на белорусские предприятия ОПК и государственные организации.

Ранее специалисты Bi.Zone Digital Risk Protection зафиксировали значительный рост числа мошеннических доменов, нацеленных на угон аккаунтов Telegram.

Фишинг по-прежнему занимает первое место среди векторов атак. Чтобы обезопасить себя, компании должны систематически обучать сотрудников правилам кибергигиены и проводить регулярные тренинги. Это значительно повысит шансы распознать злоумышленника. В том числе в мессенджерах или социальных сетях. Для защиты электронной почты можно использовать специализированные сервисы, фильтрующие нежелательные письма. А выстраивать эффективную киберзащиту и быстро реагировать на киберинциденты помогают данные порталов киберразведки, предоставляющие информацию об актуальных киберугрозах.

Короткая ссылка


Другие материалы рубрики

Как аппаратная защита и биометрия помогут бизнесу построить безопасную офисную среду

В России массовый сбой автомобильных сигнализаций. Двери не открываются, моторы не заводятся. Виновата всего одна охранная компания

Андрей Нестеров, Пулково: Чем дольше тянешь с уходом от SAP, тем дороже внедрение

Microsoft сдала ФБР ключи шифрования для взлома защищенного ноутбука

Что меняется в партнерских программах на рынке информационной безопасности

Нейросеть не позвонит. В России запретят синтезировать голоса при телефонных звонках во имя безопасности граждан

CNewsMarket

Онлайн-бухгалтерия

Выбрать тариф на онлайн-бухгалтерию

От 1 300 руб./месяц

CRM

Подобрать CRM-систему для компании

От 1 000 руб./месяц

RPA

Подобрать платформу роботизации RPA

От 200 000 руб./месяц

BaaS

Выбрать тариф для резервного копирования данных

От 0.03 руб./месяц

Техника

Лучшие снегоуборщики для дома и дачи: хиты продаж

Лучшие игровые ноутбуки начала 2026 года: выбор ZOOM

Обзор планшета HUAWEI MatePad 11,5 S PaperMatte 2026: заряжен на креатив

Показать еще

Наука

Дирижабли поднимут квантовые центры обработки данных в стратосферу — зачем это нужно?

В породах возрастом 3,3 миллиарда лет найдены древнейшие химические следы жизни

Новое исследование считает, что «хоббиты» вымерли из-за засухи
Показать еще