Новость
Аналитики департамента threat intelligence экспертного центра безопасности Positive Technologies обнаружили 808 ранее не встречавшихся образцов вредоносного кода, принадлежащих 11 отслеживаемым хакерским группировкам. Четыре наиболее активные команды — Rare Werewolf, PhaseShifters, PhantomCore и Hive0117 — создали около 72% всего нового ВПО в первом квартале 2026 года. Чаще всего злоумышленники целились в госсектор: на него пришлось 17,86% всех зарегистрированных инцидентов.
Согласно данным отчета PT ESC TI, в январе-марте 2026 года количество уникальных экземпляров вредоносного ПО, использованных в атаках на российские организации, увеличилось на 38% по сравнению с тем же периодом годом ранее. Помесячная разбивка показывает резкий скачок новых образцов к концу квартала: 117 — в январе, 283 — в феврале и 408 — в марте. Помимо правительственных структур (17,86%), в зоне риска оказались финансы (9,82%), некоммерческие организации (9,82%) и промышленность (8,04%).
Каждая из четырех самых продуктивных групп применяла собственную тактику.
Rare Werewolf тайно устанавливала на машины жертв легальную программу удаленного доступа AnyDesk, а идентификатор зараженной системы передавала операторам через комментарии на GitHub Gist. Получив ID, атакующие подключались к устройству. Особенностью метода было использование вспомогательного скрипта, который автоматически нажимал кнопки в системных окнах безопасности Windows, где ОС запрашивает разрешение пользователя на запуск подозрительного ПО. Жертва физически не успевала отклонить запрос.
PhaseShifters организовала фишинговую рассылку по организациям авиаотрасли и оборонно-промышленного комплекса. В результате на устройстве жертвы оказывался троян Remcos, дающий злоумышленникам полный контроль над компьютером — от слежки за экраном до перехвата нажатий клавиш и кражи данных.
PhantomCore распространяла фишинговые письма с вложениями в виде ярлыков Windows (LNK). При открытии они активировали вредоносный PowerShell-скрипт.
Hive0117 нацелилась на бухгалтерские отделы компаний, используя троян удаленного доступа DarkWatchman. Он перехватывал клавиатурный ввод и отправлял данные операторам. Дополнительно вирус уничтожал точки восстановления Windows, чтобы жертва не могла откатить систему к состоянию до заражения. Для связи с командным сервером DarkWatchman применял алгоритм генерации доменов — на случай блокировки основных адресов.
«Прочие группировки также проявили высокую активность, используя разнообразные техники. Одни внедряли вредоносные программы, сгенерированные с помощью ИИ: в коде встречались шаблонные названия переменных и избыточные комментарии на английском. Другие прятали свои скрипты в реестре Windows, чтобы их сложнее было обнаружить. Третьи обходили защиту Microsoft Office через обнаруженную в январе 2026 г. уязвимость CVE-2026-21509. Некоторые APT-группировки рассылали документы с макросами под видом кадровых анкет. Многие для хранения вредоносных программ и управления атаками использовали легитимные облачные сервисы, такие как GitHub, Firebase и Bitbucket», — отметил Денис Казаков, специалист группы киберразведки TI-департамента экспертного центра безопасности Positive Technologies.
Для защиты корпоративной почты от массовых и целевых фишинговых атак эксперты рекомендуют многоуровневую систему PT Email Security с сетевой песочницей PT Sandbox. Она эффективна как против типовых фишинговых угроз, так и против сложных атак с вредоносным ПО. Для защиты компьютеров, серверов и удаленных рабочих станций от массированных и целенаправленных атак подходит MaxPatrol Endpoint Security, для анализа трафика — PT Network Attack Discovery. Для своевременного усиления защиты советуют использовать данные киберразведки на портале PT Fusion.