По Новости 0 комментариев

«Лаборатория Касперского» раскрыла новые подробности кибершпионской деятельности хакерской группы HeartlessSoul. Исследователи установили, что эта группа начала проявлять интерес к геоинформационным данным российских организаций, преимущественно государственных и промышленных. Также существует вероятность их сотрудничества с другой хакерской группой — GOFFEE. Согласно данным Kaspersky Threat Intelligence Portal, HeartlessSoul активна как минимум с осени 2025 года и сосредоточена в основном на России. В числе их целей — государственный сектор, промышленные предприятия, авиационные системы, а также частные пользователи.

Группа HeartlessSoul использует троянца для заражения организаций, распространяя его различными методами. Наиболее часто они рассылают фишинговые письма сотрудникам компаний с вредоносными вложениями. Кроме того, они создают поддельные сайты, где распространяют вредоносное ПО под видом легитимного. Например, были созданы фальшивые онлайн-ресурсы авиационной тематики, предлагающие скачать якобы необходимые рабочие программы, которые на самом деле содержат троянца. Злоумышленники также размещали вредоносное ПО на популярной платформе SourceForge под видом GearUP — сервиса для улучшения соединения в онлайн-играх.

Одной из ключевых функций троянца является кража файлов. Помимо стандартных форматов, таких как документы, архивы и изображения, атакующие стремятся собрать GIS-файлы, то есть геоинформационные данные организаций. Это позволяет им получать информацию о дорогах, инженерных сетях и других объектах. Троянец также может собирать данные из мессенджера Telegram и браузеров, таких как Google Chrome, Microsoft Edge, «Яндекс Браузер» и Opera.

Технический анализ выявил связь между HeartlessSoul и группой GOFFEE, что указывает на возможные совместные или скоординированные кампании. Злоумышленники используют одну и ту же инфраструктуру и нацелены на российский государственный сектор. Защитные решения «Лаборатории Касперского», такие как Kaspersky Endpoint Detection and Response Expert, успешно обнаруживают вредоносную активность в рамках описанных атак и идентифицируют её как: Trojan-Downloader.Script.Agent.*, HEUR:Trojan.Script.Agent.*, HEUR:Trojan.OLE2.Agent.*, HEUR:Trojan.WinLNK.Agent.*.

Эксперты «Лаборатории Касперского» продолжают следить за активностью HeartlessSoul и рекомендуют организациям для защиты от этой угрозы предоставлять сотрудникам отдела кибербезопасности доступ к актуальной информации о тактиках и методах злоумышленников с помощью решений Threat Intelligence, использовать комплексные защитные решения, такие как Kaspersky Symphony, и обучать сотрудников цифровой грамотности через специализированные курсы или тренинги, например, на платформе Kaspersky Automated Security Awareness Platform. Пользователям рекомендуется загружать только лицензионные версии программ из официальных источников и использовать надежное защитное решение от проверенного вендора, например, Kaspersky Premium.

Источник

Написать комментарий