SHADOW-VOID-042: целевой фишинг Void Rabisu и защита Trend Vision One

В ноябре 2025 года исследователи зафиксировали масштабную и технически сложную кампанию целевого фишинга, обозначенную как SHADOW-VOID-042. Атака была направлена на организации в оборонной, энергетической, фармацевтической отраслях, а также в сфере кибербезопасности и ИКТ. Злоумышленники использовали приёмы социальной инженерии, в том числе имитацию корпоративного стиля Trend Micro, чтобы внушить доверие своим жертвам.

Ключевые факты

• Целевые отрасли: оборона, энергетика, фармацевтика, кибербезопасность и ИКТ.
• Методы: таргетированные фишинговые письма с сайтами‑приманками.
• Защита: сайты‑приманки были заблокированы платформой Trend Vision One до развертывания конечных полезных нагрузок.
• Связи: обнаружены сильные совпадения с тактикой группы Void Rabisu, предполагающей гибридную мотивацию и известные российские интересы.

Тактика и эволюция кампании

Аналитики отмечают, что кампания SHADOW-VOID-042 использовала многоэтапную цепочку заражения, специально настроенную под целевые машины. При этом её структура повторяла особенности предыдущей атаки в октябре 2025 года, также отнесённой к этому набору. В октябрьской кампании основными мишенями были руководители и сотрудники отдела кадров; злоумышленники применяли социальную инженерию на тему жалоб на домогательства и запросов на академические исследования.

По словам аналитиков, «эволюция приёмов злоумышленников демонстрирует их способность адаптироваться к различным организационным контекстам и выбирать социально релевантные тематики для повышения вероятности успеха».

Технические детали атаки

Ноябрьская кампания включала загрузку трёх отдельных JavaScript‑файлов. Один из них содержал 64‑битный шеллкод, который вызывал Windows API с использованием уникального алгоритма хеширования. Этот шеллкод выступал как загрузчик для зашифрованного кода, который расшифровывался и запускался на конкретной машине в зависимости от её уникального идентификатора.

Последующие этапы пытались установить связь с несколькими жёстко закодированными C&C (командования и управления) серверами. Многочисленные попытки подключения указывают на наличие механизмов отказоустойчивости в архитектуре злоумышленников.

Последствия и реакция

Несмотря на изощрённость методик проникновения, платформа Trend Vision One успешно остановила кампанию на ранних этапах цепочки заражения. Благодаря этому не было зафиксировано развертывания известных вредоносных модулей, ассоциируемых с Void Rabisu, и не подтверждена успешная установка Backdoor или ROMCOM. Из‑за этого специфика конечной полезной нагрузки и окончательные цели злоумышленников остаются неопределёнными.

Что важно знать и рекомендации

• Фишинговые рассылки продолжают использовать убедительные имитации корпоративного стиля — повышайте внимательность сотрудников к письмам, даже выглядящим как от известных вендоров.
• Многоуровневая защита и проактивный мониторинг (EDR/NDR + платформа типа Trend Vision One) критичны для остановки атак на ранних стадиях.
• Организации должны регулярно тренировать HR и руководителей по распознаванию целевого фишинга, особенно в случаях с чувствительными темами (жалобы, академические запросы и т.п.).
• Аналитика угроз должна учитывать гибкость тактик акторов и отслеживать возможные связи с коллективами вроде Void Rabisu.

Дальнейшее наблюдение

Отслеживание кампаний в рамках SHADOW-VOID-042 продолжается. Аналитики работают над установлением более чётких связей с Void Rabisu и стремятся понять возможные возможности и намерения задействованных злоумышленников. До получения дополнительных данных профиль окончательной полезной нагрузки и возможные цели остаются предметом расследования.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.