Эксперты Positive Technologies выявили финансово мотивированную APT-группировку, которая оставалась незамеченной минимум полтора года
Komolov Rostislav 23/01/25

Группа киберразведки экспертного центра безопасности Positive Technologies (PT Expert Security Center – PT ESC) выявил и отследил новую APT-группировку – DarkGaboon. Для злоумышленников характерно использование зловреда Revenge RAT в сочетании с шаблонами финансовых документов, загруженными с легитимных российских ресурсов по финансовой тематике. DarkGaboon атакует финансовые подразделения компаний из России, как минимум, с мая 2023 года.
В середине октября 2024 года специалисты киберразведки PT Expert Security Center зафиксировали таргетированную рассылку Revenge RAT сотрудникам одного из российских банков. Атака началась с отправки электронного письма, которое содержало грамотный с точки зрения синтаксиса и пунктуации сопроводительный текст на русском языке и архив-приманку.
На основе накопленной за многие годы внутренней экспертизы, специалисты группы киберразведки PT ESC сделали вывод, что новая APT-группировка преследует финансовую выгоду. На это указывает то, что все вредоносные файлы содержат в себе бухгалтерский контекст и направлены на финансовые подразделения компаний разных отраслей. Схожие признаки киберпреступной активности наблюдались у другой финансово мотивированной группировки – RTM.
В ходе расследования эксперты установили, что аналогичная активность в отношении российских компаний прослеживается как минимум до мая 2023 года. Однако ранее злоумышленники использовали кластер серверов «rampage», тогда как в октябре 2024 года – «kilimanjaro». Долгое время группировка оставалась в тени, но в августе 2024 года инфраструктура была скомпрометирована после попадания в фиды с индикаторами компрометации от ФинЦЕРТ[1], что и стало причиной смены инфраструктуры, считают специалисты киберразведки PT Expert Security Center.
Целью атак группировки DarkGaboon являются финансовые подразделения российских организаций. Об этом свидетельствует то, что почти половина всех загрузок образцов вредоноса на публичные сервисы проверки файлов приходится на Россию. Кроме того, злоумышленники подписывают вредоносный код поддельными сертификатами Х.509[2], якобы выпущенными на имя российских компаний, и хорошо ориентируются в особенностях русских названий и обсценной лексики. В ходе исследования специалистам Positive Technologies удалось выяснить, что жертвами группировки стали учреждения кредитно-финансовой сферы, крупные торговые сети, объекты спорта и туризма, а также компании сферы услуг.
«DarkGaboon стабильно обновляют используемые комплекты файлов, ежемесячно выпуская в свет порядка десяти новых экземпляров вредоносных сборок с Revenge RAT и пропорциональное им количество файлов-приманок. Регулярное “сбрасывание старой шкуры” позволило группировке более полутора лет скрытно атаковать российские компании, не прибегая к изощренным методикам и редкому вредоносному программному обеспечению», – комментирует Виктор Казаков, ведущий специалист группы киберразведки департамента Threat Intelligence экспертного центра безопасности Positive Technologies.
Более того, по данным экспертов, с марта 2024 года по сравнению с 2023 годом отмечается почти двукратный рост ежемесячных обновлений сборок с Revenge RAT. Это может говорить о том, что группировка не планирует останавливаться на достигнутом. Группа киберразведки экспертного центра безопасности Positive Technologies продолжит отслеживать активность DarkGaboon и своевременно предупреждать жертв о готовящихся кибератаках.
Выявить и своевременно среагировать на подобного рода угрозы компаниям помогают антивирусные продукты, песочницы, например рекомендован PT Sandbox, средства защиты конечных устройств, например MaxPatrol EDR, а также обучение сотрудников безопасному использованию электронной почты и противодействию методам социальной инженерии. Онлайн-сервис PT Knockin может превентивно проверить, справятся ли средства защиты почты, используемые в компании, с атаками группировки с использованием Revenge RAT. Пользователям, в свою очередь, следует быть внимательнее к отправителю сообщения, особенно если с ним отсутствует история переписки, он не является контрагентом, акцентирует внимание на срочности изучения документов, особенно подчеркивает названия государственных учреждений, регуляторов, надзорных ведомств и, если email зарегистрирован в нестандартной доменной зоне. В таких случаях необходимо проверять вложения письма лицензированными средствами антивирусной защиты.
[1] Фиды – потоки данных об индикаторах компрометации (вредоносных доменах, IP-адресах, ссылках и хеш-суммах файлов). Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCERT) информирует о потенциальных компьютерных атаках, актуальных угрозах информационной
безопасности и уязвимостях ПО, используемого организациями, поднадзорными Банку России.
[2] Сертификаты X509 — это цифровые документы, которые представляют пользователя, компьютер, службу или устройство.
- Новости (1948)
- Новости отрасли (1580)
- Пресс-релиз (764)
- Регулирование (428)
- Транспортная безопасность (287)
- СКУД (264)
- Видеонаблюдение (238)
- Эксклюзив (230)
- АРМО-Системы (225)
- Искусственный интеллект (209)
- Secuteck ADAPT (203)
- Деловая программа (191)
- Пожарная безопасность (177)
- Видеокамеры (166)
- Биометрия (160)
- ТБ Форум (135)
- Защита информации и связи, кибербезопасность (119)
- Smartec (106)
- Промышленность (94)
- Цифровая трансформация (94)
- Дайджест (92)
- All-over-IP (88)
- Минтранс (78)
- Безопасность объектов (74)
- Беспилотники (70)
- Киберугрозы (69)
- Центры обработки данных (ЦОД) (61)
- Видеоаналитика (60)
- Автоматизация (58)
- Киберзащита (58)
- Ритейл (58)
- ТЭК и нефтегаз (57)
- Защита от БПЛА (56)
- CCTV (55)
- Импортозамещение (51)
- ОПС (51)
- США (50)
- Места с массовым пребыванием людей (49)
- Пожаротушение (49)
- Банки и финансы (47)
- Комплексная безопасность (46)
- кибербезопасность (46)
- Охрана периметра (45)
- Распознавание лиц (45)
- Новости компаний (38)
- ААМ Системз (35)
- Охрана труда и промышленная безопасность (ОТиПБ) (35)
- ИТ-инфраструктура (34)
- Исследование (34)
- Минцифры (34)
- Нейросети (34)
- СОУЭ (34)
- Идентификация (33)
- Роскомнадзор (33)
- Умный дом (33)
- Авиакомпании и аэропорты (32)
- Безопасный город (32)
- киберпреступления (32)
- Пожарная сигнализация (31)
- Беспилотный транспорт (30)
- Статистика (29)
- АРГУС-СПЕКТР (27)
- Антидрон (27)
- Информационная безопасность (27)
- ЛК (26)
- Роботизация (26)
- Стрелец-ПРО (26)
- Systeme Electric (25)
- Отрасль (25)
- PERCo (24)
- Антитеррор (24)
- Госдума (24)
- Закупки и внедрения (23)
- госинициативы (23)
- Умный город (22)
- Цифровое ЖКХ (22)
- EKF (21)
- Персональные данные (21)
- Контур СБ (20)
- Источники бесперебойного питания (ИБП) (19)
- Мошенничество (19)
- Рынок безопасности (19)
- Цифровизация (19)
- данные пользователей (19)
- ИТС (18)
- Интернет вещей (IoT) (18)
- Беспроводные технологии (17)
- К2Тех (17)
- государственная слежка (17)
- Промышленная автоматизация (16)
- утечка данных (16)
- PERCo-Web (15)
- Европа (15)
- Турникеты (15)
- QR-коды (14)
- Великобритания (14)
- Китай (14)
- BPM (13)
- Бизнес, идеи и мнения (13)
- Вебинар (13)
- Журнал "Системы безопасности" №1/2024 (13)
- Журнал "Системы безопасности" №6/2024 (13)
- Компании (13)
- Контроллеры (13)
- Смартфоны (13)
- ЦБ (13)
- мессенджеры (13)
- Автоматизация зданий (12)
- Журнал "Системы безопасности" №2/2024 (12)
- Машинное зрение (12)
- сотовые операторы (12)
- Облачные технологии (11)
- Ростехнадзор (11)
- Умные парковки (11)
- Цифровые технологии (11)
- "Госуслуги" (10)
- Ippon (10)
- Timex (10)
- deepfake (10)
- МВД (10)
- Ростелеком (10)
- Строительная экспертиза (10)
- Securika Moscow (9)
- Журнал "Системы безопасности" №5/2024 (9)
- ИТРИУМ СПб (9)
- Коммутаторы (9)
- Криптовалюты (9)
- Опрос (9)
- геолокация (9)
- личные данные (9)
- санкции (9)
- соцсети (9)
- Tonmind (8)
- VPN-сервисы (8)
- Азия (8)
- Блокировка сайтов (8)
- ЕС (8)
- Журнал "Системы безопасности" №1/2025 (8)
- ИТ-отрасль (8)
- Извещатели (8)
- Метрополитен (8)
- Обзор продуктов и решений (8)
- Системы хранения данных (СХД) (8)
- Тепловидение (8)
- Чат-бот (8)
- блокировка контента (8)
- кибершпионаж (8)
- кредитные карты (8)
- мнение отрасли (8)
- судебное разбирательство (8)
- 2024 (7)
- AWADA (7)
- Apple (7)
- DDoS-атаки (7)
- Telegram (7)
- Блокировка (7)
- Взрывозащита (7)
- Домофоны (7)
- Журнал "Системы безопасности" №1/2026 (7)
- Журнал "Системы безопасности" №4/2024 (7)
- Журнал "Системы безопасности" №4/2025 (7)
- КИИ (7)
- МЧС России (7)
- Машинное обучение (7)
- Микроэлектроника (7)
- Минпромторг (7)
- Прогнозы (7)
- Строительство (7)
- ботнет (7)
- госзакупки (7)
- 2023 (6)
- 2025 (6)
- Beward (6)
- LoxTop (6)
- Sfitex (6)
- Вебмониторэкс (6)
- Государственный надзор (6)
- Журнал "Системы безопасности" №3/2025 (6)
- Журнал "Системы безопасности" №5/2023 (6)
- Журнал "Системы безопасности" №6/2023 (6)
- Журнал "Системы безопасности" №6/2025 (6)
- ИТ-технологии (6)
- КомплИТех (6)
- МФСБ (6)
- Охранная сигнализация (6)
- Платежные системы (6)
- Сбербанк (6)
- Телефонные мошенники (6)
- Транспорт (6)
- автоиндустрия (6)
- базы данных (6)
- реклама (6)
- трояны (6)
- фишинг (6)
- DJI (5)
- Flamax (5)
- IP-камеры (5)
- PSIM (5)
- Positive Technologies (5)
- Австралия (5)
- Аналитика (5)
- Главгосэкспертиза (5)
- ЕБС (5)
- Журнал "Системы безопасности" №3/2024 (5)
- Журнал "Системы безопасности" №4/2023 (5)
- Журнал "Системы безопасности" №5/2025 (5)
- Критически важные объекты (КВО) (5)
- НВП "Болид" (5)
- ПТК "ИВС" (5)
- Пожтехника (5)
- Финансовые показатели (5)
- AVIX (4)
- AgroTech (4)
- Android (4)
- F.A.C.C.T. (4)
- Google (4)
- Microsoft (4)
- Okdesk (4)
- SOC (4)
- Securex Kazakhstan (4)
- TRASSIR (4)
- itresearch (4)
- АСДКиМ (4)
- Досмотр (4)
- Журнал "Системы безопасности" №2/2025 (4)
- Журнал "Системы безопасности" №2/2026 (4)
- Израиль (4)
- Интеллектуальные транспортные системы (4)
- Металлургия (4)
- Мнения экспертов (4)
- Образование (4)
- Онлайн-торговля (4)
- Программное обеспечение (4)
- Проектирование и монтаж (4)
- Речевые оповещатели (4)
- Системы безопасности (4)
- Считыватели (4)
- Технологии распознавания (4)
- ФБР (4)
- Шифрование (4)
- анонс (4)
- обновления (4)
- пароли (4)
- судебный иск (4)
- торговля данными (4)
- хищение данных (4)
- 5G (3)
- APT-группы (3)
- Amazon (3)
- BI.Zone (3)
- CISA (3)
- CRM (3)
- Facebook (3)
- Gotschlich (3)
- Hi-Tech Building (3)
- Hikvision (3)
- Hrtech (3)
- Linux (3)
- Low-code платформы (3)
- Qrator Labs (3)
- Secumarket: (3)
- Whatsapp (3)
- Windows (3)
- dormakaba (3)
- Антифрод (3)
- ВНИИПО МЧС России (3)
- Германия (3)
- ЕСКУД (3)
- Законодательство (3)
- Индия (3)
- Итоги (3)
- МТС (3)
- Минэкономразвития (3)
- Минюст (3)
- Мобильные приложения (3)
- РЖД (3)
- Рейтинги (3)
- Сертификация (3)
- ТЕНЗОР (3)
- Тренды и тенденции (3)
- Удаленный доступ (3)
- ФСБ (3)
- ФСТЭК (3)
- Франция (3)
- ЦеСис (3)
- ЧС (3)
- автомобили (3)
- бэкдоры (3)
- военное оборудование (3)
- госсубсидии (3)
- инструкции (3)
- контакт-центр (3)
- логистика (3)
- маркетинг (3)
- отчет (3)
- пограничные службы (3)
- приложения (3)
- рынок труда (3)
- сим-карта (3)
- сми (3)
- университетские исследования (3)
- BioSmart (2)
- Forbes (2)
- HR Tech (2)
- IDC (2)
- IP-адреса (2)
- Infowatch (2)
- Iphone (2)
- Mirai (2)
- Palo Alto Networks (2)
- SIM-карты (2)
- SYMANITRON (2)
- TFortis (2)
- Wizebox (2)
- АО "ЦеСИС" (2)
- АСУ ТП (2)
- АУП (2)
- БАС (2)
- Блокчейн (2)
- Видеорегистраторы (2)
- ГК "ИСП" (2)
- Европол (2)
- Журнал "Системы безопасности" №3/2023 (2)
- ИСБ (2)
- Интралогистика (2)
- Информационные технологии (2)
- Иран (2)
- Кабельная продукция (2)
- Кибератаки (2)
- Колл-центры (2)
- Криптография (2)
- МФЦ (2)
- Мероприятия по безопасности (2)
- Минфин (2)
- Мобильное приложение (2)
- Онлайн-цензура (2)
- Преступления (2)
- Радиоканальные системы (2)
- Стандарты, нормы и требования (2)
- Туризм (2)
- Угрозы (2)
- Устройства защиты от импульсных перенапряжений (2)
- Шлагбаумы (2)
- Экологическая безопасность (2)
- Электрозамки (2)
- Энергетика (2)
- Южная Америка (2)
- Южная Корея (2)
- белые хакеры (2)
- блоки питания (2)
- боты (2)
- голосовой помощник (2)
- государственные хакеры (2)
- громкоговорители (2)
- журналистское расследование (2)
- майнинг (2)
- онлайн-реклама (2)
- последние разработки (2)
- сбор данных (2)
- системы управления (2)
- слежка (2)
- спам (2)
- спутники (2)
- страхование (2)
- фальшивые приложения (2)
- цены (2)
- частоты (2)
- электронная подпись (2)
- электронная почта (2)
- API (1)
- Airbnb (1)
- Akamai (1)
- Angara (1)
- Big Data (1)
- Bleeping Computer (1)
- Bloomberg (1)
- Bug Bounty (1)
- ByteDance (1)
- CERT (1)
- Cellebrite (1)
- Cloudflare (1)
- Cobalt Strike (1)
- Cyberseason (1)
- D-link (1)
- Ethernet (1)
- FTC (1)
- Fincert (1)
- GDPR (1)
- GPS (1)
- Gartner (1)
- General Electric (1)
- GitHub (1)
- Google Play (1)
- Huawei (1)
- IP-коммуникации (1)
- IP-системы (1)
- IaaS (1)
- Juniper Research (1)
- LoRaWan (1)
- Macroscop (1)
- Meta (1)
- NSO Group (1)
- NVR (1)
- NetBlocks (1)
- Nvidia (1)
- OpenAI (1)
- PRO32 (1)
- PoE (1)
- Python (1)
- RAT (1)
- RPA-платформы (1)
- SMS (1)
- SaaS (1)
- Signal (1)
- Silent Push (1)
- SpaceX (1)
- StaffCop (1)
- Stormwall (1)
- Streletz-Cloud (1)
- Tor (1)
- Twitter (1)
- Verizon (1)
- Wi-Fi (1)
- Word (1)
- YouTube (1)
- e-commerce (1)
- АРМ (1)
- АСКУЭ (1)
- АФК Система (1)
- Алкотестер (1)
- Безопасность данных (1)
- Безопасные дороги (1)
- Белоруссия (1)
- Беспроводные системы (1)
- Бизнес (1)
- Большие данные (1)
- ВТБ (1)
- Вентиляция (1)
- Виганд (1)
- Вымогатели (1)
- ГИС (1)
- Генетическая информация (1)
- Генпрокуратура (1)
- ДНК (1)
- ЕСИА (1)
- Еврокомиссия (1)
- Журнал "Системы безопасности" №1/2023 (1)
- Журнал "Системы безопасности" №2/2023 (1)
- Измерение температуры (1)
- Индустрия 4.0 (1)
- Интеграция (1)
- КНДР (1)
- Канада (1)
- Каршеринг (1)
- Код Безопасности (1)
- Конкурс (1)
- Конференции (1)
- Минобороны (1)
- Минобрнауки (1)
- Московский метрополитен (1)
- НКО (1)
- НП-034-23 (1)
- Охрана объектов (1)
- ПАК (1)
- Парковочные комплексы (1)
- Персоны (1)
- Полупроводники (1)
- РБК (1)
- РОЦИТ (1)
- Росатом (1)
- Роспотребнадзор (1)
- Росреестр (1)
- Росстат (1)
- Ростелеком-Солар (1)
- Руссофт (1)
- САПР (1)
- СБП (1)
- СНГ (1)
- ССОИ (1)
- Семинар (1)
- СовФед (1)
- Социальные сети (1)
- Спутниковая связь (1)
- Турция (1)
- Управление доступом (1)
- ФАС (1)
- ФНС (1)
- Форум (1)
- Хакерские атаки (1)
- ЦРУ (1)
- Яндекс (1)
- анализ изображений (1)
- антивирусы (1)
- банкоматы (1)
- выборы (1)
- выключатели (1)
- госзаказы (1)
- гостендеры (1)
- даркнет (1)
- домены (1)
- дорожные карты (1)
- железные дороги (1)
- инвестиции (1)
- индустриальные атаки (1)
- индустрия (1)
- интернет-СМИ (1)
- кибепрпреступления (1)
- корпоративные коммуникации (1)
- криптовалюта (1)
- магазины приложений (1)
- маркировка товаров (1)
- маршрутизаторы (1)
- медицина (1)
- мониторы (1)
- налоги (1)
- национальная разведка (1)
- носимые устройства (1)
- ноутбуки (1)
- обработка данных (1)
- онлайн-видео (1)
- операторы связи (1)
- отопление (1)
- отслеживание местоложений (1)
- отслеживание товаров (1)
- паспорт (1)
- патенты (1)
- пиратский контент (1)
- постаматы (1)
- почтовые службы (1)
- правоохранительные органы (1)
- премия (1)
- реестр ОРИ (1)
- реестр российского ПО (1)
- реестр российского оборудования (1)
- рспп (1)
- светодиодное освещение (1)
- серверы (1)
- следственный комитет (1)
- службы доставки (1)
- сотовая связь (1)
- спорт (1)
- страны Брикс (1)
- торговля (1)
- хостинги (1)
- штрафы (1)
- электронные документы (1)
- Июль 2026 (17)
- Июнь 2026 (38)
- Май 2026 (38)
- Апрель 2026 (30)
- Март 2026 (43)
- Февраль 2026 (43)
- Январь 2026 (40)
- Декабрь 2025 (55)
- Ноябрь 2025 (59)
- Октябрь 2025 (69)
- Сентябрь 2025 (96)
- Август 2025 (82)
- Июль 2025 (84)
- Июнь 2025 (52)
- Май 2025 (72)
- Апрель 2025 (107)
- Март 2025 (124)
- Февраль 2025 (90)
- Январь 2025 (73)
- Декабрь 2024 (96)
- Ноябрь 2024 (97)
- Октябрь 2024 (119)
- Сентябрь 2024 (75)
- Август 2024 (93)
- Июль 2024 (93)
- Июнь 2024 (63)
- Май 2024 (78)
- Апрель 2024 (88)
- Март 2024 (101)
- Февраль 2024 (73)
- Январь 2024 (62)
- Декабрь 2023 (71)
- Ноябрь 2023 (73)
- Октябрь 2023 (51)
- Сентябрь 2023 (12)