СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
17 июня
#ИБ

Poisson и стойкий доступ: новая тактика кибератак


Poisson использовал persistent access и кражу учетных данных в серии атак на французскую компанию

Cato CTRL в анализе «Операции Poisson» описывает целевую кампанию, которую вел франкоязычный киберпреступник по имени Poisson. По данным отчета, в течение 33 дней — с 30 марта по 1 мая 2026 года — он атаковал небольшую французскую автомобильную компанию и еще четырех человек, применяя широкий набор техник, демонстрирующих рост сложности современного cybercrime.

Ключевой особенностью кампании стало использование mechanisms of persistent access, позволивших сохранить контроль над скомпрометированными системами даже после того, как инфраструктура управления C2 была нарушена.

339 команд через Havoc и многоэтапный initial access

Согласно отчету, операция началась с того, что Poisson задействовал framework Havoc для передачи 339 команд, направленных на компрометацию целей и сбор sensitive data, включая credentials банковских и почтовых сервисов.

Initial access к системам был получен с помощью многоэтапной fileless attack, в рамках которой использовалось внедрение shellcode в системные процессы. Такой подход усложняет обнаружение и позволяет атакующему действовать скрытно на раннем этапе.

Отдельно аналитики отмечают использование Poisson 70-line Python keylogger, предназначенного для перехвата нажатий клавиш без выделенного exfiltration server или beacon. Вместо автоматизированной отправки данных злоумышленник полагался на manual collection.

OpenSSH и Tailscale VPN как устойчивый канал доступа

Переломным моментом кампании стала установка OpenSSH и Tailscale VPN на машину жертвы. Этот шаг создал дополнительный слой persistent access, который сохранился даже после простоя сервера Havoc C2.

По данным отчета, сервер был недоступен с 8 апреля, однако возобновил работу лишь 26 апреля. При этом закрепление на стороне жертвы позволило Poisson вернуться к скомпрометированным системам без повторной эксплуатации уязвимостей.

Авторы анализа подчеркивают: этот эпизод показывает, что простое отключение или уничтожение C2-инфраструктуры больше не гарантирует устранения последствий атаки.

Ошибки OPSEC и утечки служебной информации

При всей эффективности атак Poisson допускал и заметные ошибки в области OPSEC. Его инфраструктура опиралась на бесплатные сервисы, включая DuckDNS и Backblaze B2, что приводило к сбоям, связанным с bandwidth.

Кроме того, из-за слабого управления public storage он непреднамеренно раскрывал SSH-keys и operational documentation. Для специалиста по расследованию инцидентов такие утечки являются ценным источником сведений о методах, конфигурации и возможных точках входа злоумышленника.

Фокус на кражу учетных данных, а не на ransomware

Выбранные Poisson techniques указывают на приоритет кражи учетных данных, а не на широкомасштабную data compromise или развертывание ransomware. В отчете отмечается, что он добился успешного обхода UAC для получения administrative access и активно использовал scheduled tasks для поддержания контроля над зараженными машинами.

Дополнительным признаком долгосрочной стратегии стало изменение system power settings, чтобы устройства оставались active для ведения logs. Все это говорит о том, что цель операции заключалась не в быстрой монетизации, а в устойчивом доступе и последующем сборе данных.

Что это значит для defenders

Cato CTRL делает важный вывод: традиционные защитные меры, основанные исключительно на отключении C2-каналов, становятся все менее эффективными. Если атакующий заранее создал устойчивые механизмы доступа на endpoints, восстановление контроля над инфраструктурой не означает устранение угрозы.

Организациям рекомендуется усиливать меры обнаружения и реагирования, уделяя особое внимание следующим признакам:

  • использование remote access software;
  • наличие подозрительных VPN-конфигураций;
  • необычные scheduled tasks;
  • следы bypassing UAC;
  • изменения system power settings, препятствующие переходу устройств в неактивное состояние.

Также аналитики призывают совершенствовать incident response, чтобы учитывать именно такие стойкие угрозы, а не только классические сценарии с единым C2-узлом.

Вывод

Инцидент, описанный Cato CTRL, напоминает: как inexperienced, так и skilled actors способны реализовывать сложные cyber campaigns. В случае Poisson решающим фактором стала не только техническая изощренность, но и умение выстраивать persistent access, позволяющий сохранять присутствие в сети жертвы вопреки сбоям в инфраструктуре управления.

Для рынка кибербезопасности это еще одно подтверждение того, что борьба с современными атаками требует не точечной реакции, а системного мониторинга, глубокой forensics-экспертизы и готовности выявлять скрытые механизмы закрепления.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: