В числе мишеней — российские государственные структуры, строительные и промышленные предприятия
В конце 2025 года аналитики Cyber Threat Intelligence из «Лаборатории Касперского» обнаружили новую волну целевых кибератак хактивистов Head Mare — на российские государственные структуры, строительные и промышленные предприятия. Группировка продолжает перестраивать свой инструментарий и цепочки атак. Ключевой находкой стал новый бэкдор PhantomHeart, который изначально распространялся в виде DLL-библиотеки, а позднее был переработан в PowerShell-скрипт. Это отражает стремление Head Mare активнее использовать подход Living-off-the-Land (LOTL), при котором вредоносные действия выполняются через штатные инструменты Windows, уже присутствующие в системе.
Вектор первоначального доступа. В новой кампании он остаётся неизменным: Head Mare продолжает эксплуатировать старую уязвимость BDU:2025-10114 в программном обеспечении TrueConf Server, а в отдельных случаях по-прежнему использует фишинговые рассылки, сочетая проверенные векторы проникновения с постепенно обновляемым арсеналом.
Новый бэкдор — PhantomHeart. Его основная функциональная возможность — развёртывание SSH-туннеля по указанию командно-контрольного сервера. В результате оператор получает устойчивый удалённый доступ к скомпрометированной системе, а бэкдор собирает базовую информацию о ней — имя компьютера, домен, внешний IP-адрес и уникальный идентификатор. Отдельного внимания заслуживает обнаруженный механизм закрепления. В одной из атак бэкдор запускался через планировщик заданий под видом легитимного скрипта обновления, размещённого в директории средства удалённого администрирования LiteManager. Это означает, что злоумышленники пытаются замаскировать вредоносную активность под штатную работу легитимного программного обеспечения.
Автоматизация кибератак. Head Mare расширила вспомогательный инструментарий, используемый на этапе постэксплуатации — когда система уже скомпрометирована. Эксперты «Лаборатории Касперского» обнаружили новые утилиты и скрипты, предназначенные для автоматизации типовых задач на уровне хоста, включая закрепление в системе, управление привилегиями и организацию сетевого доступа. Их интеграция в общую цепочку атаки подчеркивает ориентацию Head Mare на автоматизацию, повторяемость и снижение операционной нагрузки на этапе постэксплуатации. Это позволяет группировке проводить большее количество атак и повышать их сложность.
Продукты «Лаборатории Касперского» детектируют вредоносное ПО следующими вердиктами: HEUR:Trojan-Ransom.Win32.*, not-avirus:NetTool.Win32.NetScan.*, HEUR:Trojan.Win32.Generic, not-a-virus:NetTool.Win64.MicroSocks.*, Backdoor.PowerShell.Agent.gen, Trojan.PowerShell.Agent.*
Подробный технический анализ новой активности HeadMare доступен на Securelist. Техники, тактики и процедуры Head Mare и других группировок, представляющих угрозу для России, описаны в аналитическом отчёте «Записки цифрового ревизора: три кластера угроз в киберпространстве». Аналитические отчёты о самых актуальных киберугрозах для российских организаций публикуются на портале Kaspersky Threat Intelligence Portal.
Для защиты корпоративной инфраструктуры эксперты «Лаборатории Касперского» рекомендуют:
· регулярно обновлять программное обеспечение на всех устройствах, чтобы злоумышленники не смогли воспользоваться уязвимостями и проникнуть в корпоративную сеть;
· применять комплексные защитные решения, такие как Kaspersky Symphony, которые позволят выстроить гибкую и эффективную систему безопасности;
· обучать сотрудников цифровой грамотности. В этом помогут специализированные курсы или тренинги, например на платформе Kaspersky Automated Security Awareness Platform;
· предоставлять сотрудникам отдела кибербезопасности возможность доступа к свежей информации о новейших тактиках, техниках и процедурах злоумышленников, например с помощью решений класса Threat Intelligence.
