Cobalt Strike атакует через GitHub и соцсети, нацеливаясь на российский бизнес

«Лаборатория Касперского» сообщила об очередной волне кибератак с использованием Cobalt Strike Beacon — инструмента для удалённого управления, который активно применяется для взлома систем и кражи данных, передаёт Securitylab. Вредоносное ПО распространяется через зашифрованный код, размещённый в профилях на популярных цифровых платформах, таких как GitHub, Microsoft Learn Challenge, Quora и российские соцсети.

Подобные атаки впервые зафиксированы во второй половине 2024 года. Тогда их целью стали организации в России, Китае, Японии, Малайзии и Перу. В 2025 году частота атак снизилась, однако специалисты продолжают наблюдать всплески — в июле зафиксированы новые случаи, нацеленные исключительно на российские компании, в основном среднего и крупного бизнеса.

Атака начинается с фишинговых писем от имени якобы крупных госкомпаний, в частности из нефтегазовой отрасли. В письмах предлагается ознакомиться с техническими требованиями — во вложении находится архив с вредоносными файлами EXE и DLL, замаскированными под документы формата PDF.

Для запуска вредоносного кода используется метод подмены библиотек DLL, а также легитимная утилита для сбора отчётов о сбоях в приложениях. Вместо отчёта она загружает и запускает вредоносный файл.

Чтобы продолжить выполнение, вредонос извлекает зашифрованный код с внешних платформ. Специалисты обнаружили его в публичных репозиториях и профилях на GitHub, а также по ссылкам в контенте, размещённом на других платформах. Учётные записи, по всей видимости, были созданы специально для атаки. Также возможны и другие схемы — например, размещение вредоносного кода в комментариях к сообщениям настоящих пользователей.

В результате выполнения вредоносного кода на устройстве жертвы активируется Cobalt Strike Beacon, после чего система оказывается скомпрометирована.