«Лаборатория Касперского»: хакеры атакуют российские компании через GitHub и соцсети, распространяя вредоносный код с помощью Cobalt Strike Beacon

Эксперты «Лаборатории Касперского» зафиксировали новые случаи целевых кибератак на российские организации, в которых злоумышленники применяют инструмент Cobalt Strike Beacon для удалённого доступа к системам и кражи конфиденциальной информации. По данным исследователей, вредоносный код размещается на легитимных платформах, таких как GitHub и социальные сети, что затрудняет его обнаружение.

Атаки впервые были зафиксированы во второй половине 2024 года и затронули не только Россию, но также Китай, Японию, Малайзию и Перу. В 2025 году общий уровень активности пошёл на спад, однако, как отмечают специалисты, в июле зафиксированы новые всплески, направленные преимущественно на российские компании среднего и крупного бизнеса.

Сценарий атаки начинается с фишинговых писем. Жертвам направляются сообщения, якобы от крупных госкорпораций, чаще всего из нефтегазовой сферы. В письмах содержится предложение о сотрудничестве, к которому прилагается архив с вредоносными файлами. Внутри — псевдо-PDF-документы, среди которых скрываются исполняемые файлы EXE и DLL.

Как отмечается в отчёте, для запуска вредоносного ПО используются распространённые приёмы, включая подмену библиотек DLL и использование легальной утилиты, предназначенной для отправки отчётов о сбоях приложений. Эта программа в результате манипуляций загружает и активирует вредоносный файл вместо штатного компонента.

Чтобы избежать обнаружения и сохранить устойчивость атаки, вредоносный код извлекается из внешнего источника: он предварительно зашифрован и размещён на популярных онлайн-платформах. Исследователи обнаружили такие элементы в репозиториях GitHub, а также в профилях на Microsoft Learn Challenge, Quora и ряде российских социальных сетей. Все эти аккаунты были специально созданы злоумышленниками в рамках подготовки кибератаки.

После активации вредоносного компонента в системе жертвы разворачивается Cobalt Strike Beacon — инструмент, позволяющий управлять заражённым устройством, выполнять команды, собирать данные и координировать последующие этапы атаки.

Эксперт по киберугрозам «Лаборатории Касперского» Максим Стародубов прокомментировал, что злоумышленники не прибегали к компрометации реальных учётных записей, а создавали фальшивые профили с единственной целью — разместить вредоносный контент. Он также подчеркнул, что подобные схемы могут быть модифицированы, например, за счёт внедрения ссылок на вредоносный код в комментарии к публикациям настоящих пользователей.