«Лаборатория Каспреского»: хакеры атакуют российскую промышленность новым бэкдором

Исследователи «Лаборатории Касперского» зафиксировали всплеск кибератак на промышленные организации в России. Ответственность за серию инцидентов специалисты с высокой долей уверенности возложили на группировку Head Mare.

По сведениям компании, в марте 2025 года более 800 сотрудников из примерно 100 компаний получили электронные письма с неизвестным ранее вредоносом. Объектами атаки стали в том числе предприятия, занимающиеся приборостроением и машиностроением.

Рассылка осуществлялась от лица вымышленного секретариата. Сотрудникам направлялись ZIP-архивы с просьбой подтвердить получение информации и ознакомиться с вложенной заявкой. При открытии архива жертва сталкивалась с псевдодокументом о якобы ремонте оборудования от имени одного из государственных ведомств. На деле в файл был встроен вредонос.

Особенность этой кампании — применение приёма под названием polyglot. Обычно хакеры шифруют архив паролем, чтобы обойти антивирусные фильтры. Но в этом случае использовалась более сложная методика. Polyglot-файл может быть воспринят как изображение, текст или исполняемый объект в зависимости от среды запуска. Он способен одновременно содержать как безобидные элементы, так и вредоносный код — при этом код может быть написан на разных языках программирования.

В результате открытия архива на устройство попадал ранее неизвестный бэкдор под названием PhantomPyramid. Его разработали на Python 3.8. Дополнительно загружалось легитимное программное обеспечение MeshAgent, входящее в пакет MeshCentral. Этот агент используется для дистанционного контроля за устройствами. Он с открытым кодом, и его применяют как официальные структуры, так и преступные группировки. В частности, ранее MeshAgent был замечен в арсенале Awaken Likho.

Артём Ушков, специалист по анализу угроз из «Лаборатории Касперского», отметил, что Head Mare продолжает адаптировать свои инструменты, добавляя в арсенал новые вредоносные компоненты. В этом случае эксперты впервые увидели использование polyglot-техники данной группой, а также внедрение неизвестного ранее Python-бэкдора. Артём Ушков подчеркнул, что компаниям необходимо своевременно обновлять информацию о возможных киберугрозах, действиях атакующих и применяемых ими методах. Такие сведения можно получать с помощью систем класса Threat Intelligence.