СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
17 февраля
#ИБ

Vortex Werewolf (SkyCloak): целенаправленные атаки на госорганы и оборону

В конце декабря 2025 года и в начале января 2026 года специалисты по кибербезопасности зафиксировали появление нового кластера злоумышленников под названием Vortex Werewolf (также известный как SkyCloak). По характеру атак очевидно, что цель — российские государственные учреждения и оборонные организации. Анализ указывает на целенаправленный, тщательно спланированный подход, что вызывает серьёзную обеспокоенность в контексте национальной безопасности.

Краткое содержание инцидента

Зафиксированная активность характеризуется использованием передовых методов для эксплуатации слабых мест в системах безопасности целевых объектов. Хотя конкретные детали работы вредоносного ПО в предоставленных выводах не раскрываются, типичные для подобных кластеров приемы включают масштабные кампании phishing, механизмы кражи учетных данных и эксплуатацию известных уязвимостей в программном обеспечении, применяемом государственными учреждениями.

«Способность обходить традиционные меры безопасности свидетельствует о высоком уровне изощренности и планирования злоумышленников.»

Тактика, методы и процедуры (TTP)

Наблюдаемые элементы активности Vortex Werewolf можно свести к нескольким ключевым направлениям:

  • Phishing-кампании — целевые рассылки, адаптированные под профиль сотрудников и ведомств.
  • Кража учетных данных — использование фишинговых страниц, трекеров и техник перехвата для получения логинов и паролей.
  • Эксплуатация известных уязвимостей — применение публично известных или недавно раскрытых багов в ПО государственных структур.
  • Обход традиционных средств защиты — применение техник, уменьшающих видимость активности для антивирусов и систем EDR.
  • Целенаправленное позиционирование — разведка сети и подбор наиболее ценных целей в инфраструктуре.

Для оперативного реагирования важно отслеживать изменения в тактике и новые индикаторы компрометации, поскольку TTP могут эволюционировать и дополняться новыми векторами атак.

Возможные последствия

Атаки, направленные на критически важные инфраструктуры и информационные сети, несут в себе риск:

  • сбоев в работе ведомств и систем, обеспечивающих национальную безопасность;
  • утечки и эксфильтрации конфиденциальных данных;
  • подрыва доверия к устойчивости инфраструктуры и информационных каналов;
  • усиления геополитической напряжённости, если атаки будут приписаны спонсируемым государством группам.

Рекомендации по защите

Для снижения рисков и повышения устойчивости к активности Vortex Werewolf эксперты рекомендуют:

  • усилить контроль доступа: внедрить многофакторную аутентификацию и минимизацию привилегий;
  • регулярно обновлять и патчить критическое ПО и инфраструктурные компоненты;
  • повышать осведомлённость сотрудников через целевые тренинги по распознаванию phishing и социальных инжиниринговых приёмов;
  • внедрять сегментацию сети и ограничения на lateral movement;
  • настроить многоуровневый мониторинг и корреляцию логов для раннего обнаружения аномалий;
  • обмениваться Indicators of Compromise (IoC) и информацией об угрозах с профильными организациями и отраслевыми ISAC;
  • подготовить и отточить планы инцидент-реакции и восстановления бизнес-процессов.

Что дальше

Данная угроза подчёркивает необходимость постоянного наблюдения за эволюцией тактик Vortex Werewolf и быстрой адаптации защитных мер. Выявление и подробное понимание таких акторов помогает повысить устойчивость к *state‑sponsored* киберугрозам и вредоносной активности в более широком геополитическом контексте.

Вывод

Появление Vortex Werewolf (SkyCloak) — сигнал для государственных и оборонных организаций: атаки становятся все более целенаправленными и технологично изощрёнными. Комплексная защита, оперативный обмен информацией и готовность к инцидентам — ключевые элементы в противодействии новой волне угроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: