Беларусь вошла в число основных целей фишинговой кампании группировки xplogs22

Компания F6, разработчик технологий для борьбы с киберпреступностью, зафиксировала активность хакерской группировки xplogs22, которая проводит массовые фишинговые атаки на организации в разных странах. За последние 12 месяцев злоумышленники отправили более 2900 вредоносных писем. В число основных целей кампании входят Беларусь, Россия, Казахстан, Армения, Азербайджан и Узбекистан.

Специалисты департамента киберразведки (Threat Intelligence) компании представили исследование деятельности группировки xplogs22, в котором описали актуальные методы проведения атак, изменения в инструментарии злоумышленников и особенности фишинговых кампаний против организаций из стран СНГ.

Группировка xplogs22 действует как минимум с ноября 2023 года. Проводит массовые фишинговые атаки на организации из разных стран. С июля 2025 года использует в атаках троян удалённого доступа XWorm, ранее применяла вредоносное ПО SnakeKeylogger и стилер FormBookFormgrabber.

В качестве приманки злоумышленники используют письма, имитирующие деловую переписку. Наиболее распространенные темы сообщений — «Договор», «Contract», «Проект договора», «Payment receipt», «Копия платежа» и другие сообщения, связанные с договорами и платежными документами. Вложения содержат архивы с вредоносными файлами, запуск которых приводит к заражению устройства.

Специалисты F6 установили, что для повышения доверия получателей группировка использует локальную инфраструктуру. В ходе исследования были зафиксированы рассылки с адресов в доменной зоне .by, а также с почтовых серверов белорусских организаций. В отдельных случаях злоумышленники, предположительно, использовали скомпрометированные корпоративные почтовые ящики, что позволяло маскировать фишинговые письма под легитимную деловую переписку.

С июля 2025 года xplogs22 использует троян удаленного доступа XWorm (версии 6.0 и 7.1). Также группировка изменила цепочки заражения: помимо исполняемых файлов, во вложениях стали использоваться загрузчики с расширениями .vbs, .hta и .bat.

В атаках злоумышленники также применяют методы стеганографии, скрывая вредоносный код внутри изображений. Такой подход позволяет обходить часть средств защиты и после успешного заражения получать удаленный доступ к системе жертвы.

Регион: 

Рубрики: 

Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!