В основном злоумышленников интересуют финансовые организации, а также компании из сфер промышленности и ИТ
«Лаборатория Касперского» проанализировала недавнюю кампанию группы Stan Ghouls. В конце 2025 года злоумышленники атаковали финансовые учреждения, промышленные предприятия и ИТ-компании в странах СНГ, в том числе в России. Они использовали прежний набор инструментов, но при этом обновили инфраструктуру — в частности, создали новые вредоносные домены. Кроме того, группа могла добавить в свой арсенал вредоносное ПО для атак на системы интернета вещей (IoT).
Что известно о группе. Stan Ghouls проводит целевые кампании в России, Казахстане, Кыргызстане и Узбекистане как минимум с 2023 года. В основном злоумышленников интересуют финансовые организации, а также компании из сфер промышленности и ИТ. Среди отличительных черт группы — использование уникальных вредоносных загрузчиков на Java. При этом у Stan Ghouls масштабная инфраструктура, которую она периодически модифицирует, в том числе регистрирует домены для новых кампаний. Вероятно, злоумышленники преследуют финансовые цели, но не исключены атаки с целью кибершпионажа.
Детали кампании. Группа начинает атаки с фишинговых рассылок, внутри которых содержатся вредоносные PDF-вложения. Письма тщательно адаптируются под жертв, и обычно злоумышленники используют локальные языки. Сообщения могут, например, быть замаскированы якобы под предупреждение от прокуратуры или постановление районного суда. В документах-приманках содержатся ссылки — если по ним перейти, запустится вредоносный загрузчик. Атакующие отдельно просят жертву скачать и установить среду выполнения Java, поскольку без этого якобы нельзя будет просмотреть файлы.
Вредоносный загрузчик в свою очередь скачивает легитимное ПО NetSupport, который атакующие используют для управления заражённым устройством. Ранее основным инструментом злоумышленников был коммерческий троянец удалённого доступа (RAT) STRRAT, также известный как Strigoi Master.
«Всего злоумышленники атаковали более 60 целей, что довольно много для одной таргетированной кампании. Это говорит о том, что у них достаточно ресурсов, чтобы обеспечить ручное удалённое управление несколькими десятками заражённых устройств. Примечательно, что группа продолжает использовать прежний набор инструментов, включая легитимную утилиту удалённого управления NetSupport и уникальный вредоносный загрузчик на Java. Таким образом, атакующие обновляют только инфраструктуру, в частности используют новые домены. На одном из доменов, фигурировавших в прошлых кампаниях группы, были обнаружены файлы, относящиеся к известному IoT-зловреду Mirai. Это может указывать на то, что злоумышленники начали использовать вредоносное ПО для IoT-систем. Мы продолжаем отслеживать активность Stan Ghouls и информировать наших клиентов о новых кампаниях злоумышленников», — комментирует Алексей Шульмин, эксперт по кибербезопасности в «Лаборатории Касперского».
Узнать подробнее о кампании Stan Ghouls можно на Securelist.ru. Решения «Лаборатории Касперского» надёжно защищают от этой угрозы на всех этапах атаки.
Чтобы противостоять подобным атакам, «Лаборатория Касперского» рекомендует организациям:
· проводить обучающие тренинги для сотрудников, чтобы снизить вероятность успешных атак с использованием методов социальной инженерии, в том числе фишинга, например с помощью онлайн-платформы Kaspersky Automated Security Awareness Platform;
· предоставлять ИБ-специалистам свежую информацию о новейших тактиках, техниках и процедурах злоумышленников (TTPs). Комплекс Kaspersky Threat Intelligence — единая точка доступа ко всем данным о киберугрозах, накопленных экспертами «Лаборатории Касперского» более чем за 25 лет;
· применять комплексные решения для обеспечения кибербезопасности, например из линейки Kaspersky Symphony. Продукты, входящие в её состав, обеспечивают видимость угроз и защиту в режиме реального времени, предоставляют возможности EDR и XDR для исследования и реагирования на них. Линейка подходит для организаций любого масштаба и отрасли, поскольку предусматривает несколько уровней защиты в зависимости от потребностей и ресурсов бизнеса.
