Жертвы получали вредоносные электронные рассылки, замаскированные под официальные уведомления от налоговой службы
Эксперты «Лаборатории Касперского» проанализировали новую волну кибератак группировки Silver Fox, обнаруженную в январе 2026 года. Кампания затронула российские организации, в частности из сфер промышленности, консалтинга, торговли и транспорта. Жертвы получали вредоносные электронные рассылки, замаскированные под официальные уведомления от налоговой службы. С начала января по начало февраля было зафиксировано более 1600 подобных писем. Злоумышленники обновили инструментарий: использовали ранее неизвестные загрузчики и Python-бэкдор, который исследователи назвали ABCDoor. В случае заражения атакующие могли получить удалённый доступ к устройствам и красть конфиденциальные данные организации.
Ранее Silver Fox атаковала предприятия в Азии из таких отраслей, как телекоммуникации, энергетика, логистика, финансы. В конце 2025 года группировка впервые обратила внимание на российские компании.
Старая легенда — новые методы. Жертвам приходит письмо якобы от налоговой службы, которая, как уверяют злоумышленники, обнаружила у организации серьёзные «нарушения». Похожая легенда уже встречалась в декабре 2025 года, однако в январе 2026 года группа обновила схему. Например, вместо вредоносного архива атакующие теперь прикрепляют к письмам PDF-документ, внутри которого содержатся ссылки для его скачивания. Это уловка используется для того, чтобы попытаться обойти защитные почтовые фильтры и заразить компьютер жертвы.
Новый бэкдор ABCDoor. В январской кампании злоумышленники расширили инструментарий: через уже известный бэкдор ValleyRAT, который ранее использовался в атаках, злоумышленники запускали ABCDoor — новый бэкдор, написанный на языке программирования Python. Он позволяет злоумышленникам удалённо управлять системой, записывать нажатия клавиш, загружать и скачивать файлы, транслировать одновременно несколько экранов жертвы в близком к реальному времени, получать доступ к буферу обмена, а также обновлять себя. Кроме того, для загрузки ValleyRAT использовалась модифицированная, ранее неизвестная версия RustSL: злоумышленники впервые применили её в конце декабря 2025 года.
«Социальная инженерия сыграла ключевую роль в данной кампании — группировка воспользовались тем, что люди обычно доверяют уведомлениям от официальных ведомств, например от налоговой службы. При этом Silver Fox применила многоступенчатый подход к доставке основной вредоносной нагрузки, а также задействовала разные адреса и домены. Это повышает опасность подобных атак, поскольку такой метод позволяет злоумышленникам минимизировать риск обнаружения и блокировки всей цепочки атаки», — комментирует Антон Каргин, эксперт Kaspersky GReAT (Глобального центра исследований и анализа угроз «Лаборатории Касперского»).
Решения «Лаборатории Касперского» защищают от данной угрозы и детектируют вредоносное ПО как: Trojan-Spy.Win64.Pycl.a, Trojan-Downloader.Script.Generic, Trojan.Win32.RSL, Trojan.Win32.Agentb, Trojan.Win32.Injuke, Backdoor.Win32.Xkcp, Trojan-Downloader.Win32.Agent.
Для защиты от подобных атак «Лаборатория Касперского» также рекомендует:
- регулярно повышать уровень цифровой грамотности сотрудников. В этом помогут специализированные курсы или тренинги, например Kaspersky Automated Security Awareness Platform;
- использовать решение, которое будет автоматически блокировать подозрительные письма, проверять запароленные архивы и использовать технологию CDR, такое как Kaspersky Security для почтовых серверов в расширенной версии KSMS Plus;
- предоставлять ИБ-специалистам доступ к данным о киберугрозах, например через Threat Intelligence, чтобы они оставались в курсе актуальных техник, тактик и процедур злоумышленников;
- использовать комплексные продукты, которые позволят выстроить гибкую и систему безопасности, включая обеспечение надёжной защиты рабочих мест, сбор и анализ данных о событиях безопасности со всех источников в инфраструктуре, выявление и остановку атак любой сложности на ранних стадиях и обучение сотрудников базовым навыкам цифровой грамотности. Комбинации таких решений под потребности компании любого масштаба содержатся в линейке продуктов для защиты бизнеса Kaspersky Symphony.
