СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
04.12.2025
#ИБ

Полиморфное вредоносное ПО Nimbus Mantic: фишинг, C2, кроссплатформенность

Nimbus Manticore — недавно выявленное вредоносное ПО, отличающееся сложной многоэтапной архитектурой и набором продвинутых техник уклонения от обнаружения. Эксперты указывают на широкую направленность атак и повышенную стойкость в скомпрометированных средах, что делает эту угрозу серьезной для организаций независимо от их масштаба.

Как происходит заражение

Атаки, связанные с Nimbus Manticore, обычно инициируются фишинговыми кампаниями. Злоумышленники доставляют полезную нагрузку, маскируя её под безобидные файлы или ссылки. После открытия заражённого файла начинается многоэтапный процесс компрометации:

  • инициализация и запуск вредоносной полезной нагрузки;
  • установление связи с сервером управления и контроля (C2);
  • развертывание дополнительных модулей и инструментов для углубления контроля над системой;
  • сбор конфиденциальных данных и разведка внутри сети жертвы.

Функциональные возможности и поведение

Nimbus Manticore умеет выполнять широкий спектр задач, характерных для современных многофункциональных семейств malware. Среди ключевых возможностей:

  • удалённое управление через C2;
  • экстракция конфиденциальных данных;
  • загрузка и запуск дополнительных вредоносных инструментов;
  • проведение разведки с целью картирования окружения и поиска высокоценной информации.

Методы уклонения и устойчивость

Для затруднения анализа и обхода средств защиты Nimbus Manticore использует ряд современных техник:

  • обфускация кода;
  • polymorphic поведение, изменяющее вид полезной нагрузки между инъекциями;
  • многоэтапная архитектура, снижающая заметность начальных этапов компрометации.

Комбинация этих методов усложняет обнаружение как сигнатурными, так и поведенческими средствами защиты.

Платформы и векторы эксплуатации уязвимостей

Особенность Nimbus Manticore — мультиплатформенная направленность: вредоносное ПО способно работать как в средах Windows, так и в Linux. Кроме фишинга, злоумышленники активно используют известные уязвимости в прикладном ПО для начального проникновения и закрепления в сети жертвы. Это подчёркивает важность своевременного управления уязвимостями и регулярного применения исправлений.

Индикаторы компрометации (IOCs)

Связанные с угрозой IOCs включают:

  • конкретные хэши файлов (file hashes);
  • IP-адреса серверов C2 и доменные имена;
  • необычное поведение процессов — длительные сетевые соединения, неожиданные запуски дочерних процессов, изменения в системных службах и автозапусках.

Организациям рекомендуется собирать и оперативно обмениваться этими индикаторами для ускорения обнаружения и блокировки атак.

Рекомендации по защите

Для снижения рисков, связанных с Nimbus Manticore, экспертами по безопасности рекомендуется:

  • приоритизировать управление уязвимостями и оперативно применять security patches;
  • усовершенствовать фишинговую защиту: обучение пользователей, фильтрация почты и URL, Sandboxing вложений;
  • внедрять многоуровневый мониторинг сети и endpoint detection and response (EDR) с акцентом на поведенческую аналитику;
  • автоматизировать сбор и корреляцию IOCs, интегрировать их в SIEM/SOAR для быстрого реагирования;
  • проводить регулярные учения по реагированию на инциденты и тестирование планов восстановления.

Вывод

Угроза со стороны Nimbus Manticore демонстрирует, что современные вредоносные семейства становятся более гибкими и устойчивыми. Их способность комбинировать фишинговые операции, эксплуатацию уязвимостей и продвинутые техники уклонения требует от организаций комплексного подхода к безопасности: проактивного управления уязвимостями, постоянного мониторинга и готовности к быстрому реагированию на инциденты.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: