Эксперты «Перспективного мониторинга» зафиксировали случай кибершпионажа в сфере авиатранспорта

19.05.2026 |
Александр Абрамов
Версия для печати
Эксперты «Перспективного мониторинга» зафиксировали случай кибершпионажа в сфере авиатранспорта
Фото: freepic.com
Специалисты «Перспективного мониторинга» (входит в ГК «ИнфоТеКС») обнаружили попытку распространения вредоносного программного обеспечения с помощью фишинга в организации авиатранспортной отрасли.

Атака началась с отправки на корпоративную почту сотрудника организации фишингового письма с заголовком «Исх. № 451/63-26 от 23.04.2026 г.» и текстом: «Добрый день, просим передать руководству». К письму приложен документ «Инструктаж.docx», посвящённый рискам атак и дефицита топлива. Для противодействия этим угрозам в документе предложено ознакомиться с процедурами реагирования. Для этого пользователя просят открыть вложенный в документ архив «Инструктаж.7z».

Архив «Инструктаж.7z» содержит единственный файл — «Инструктаж.pdf.exe» с двойным расширением для маскировки. После запуска «Инструктаж.pdf.exe» пользователь получает поддельное сообщение об ошибке, однако на самом деле в это время выполняется распаковка explorer.exe. Вредоносное ПО мимикрирует под проводник Windows и названием, и иконкой.
Explorer.exe выполняет поиск в системе файлов с расширениями *.txt, *.csv, *.rtf, *.zip, *.doc, *.docx, *.odt, *.pdf, *.ppt, *.rar, *.xls, *.xlsx и другими. Перечень найденных файлов сохраняется в скрытый файл и выгружается на управляющий сервер злоумышленника.

«В качестве C2-сервера ВПО использует сторонний роутер, который, вероятно, был скомпрометирован и используется как прокси-сервер. На момент исследования осуществить C2-взаимодействие с указанным сервером не удалось», — прокомментировал Александр Рудзик, руководитель направления исследований киберугроз компании «Перспективный мониторинг».

В открытых источниках были найдены и другие связанные с explorer.exe файлы: «Настройки Bitrix.msi» содержит в себе CAB-файл SSbySW, из которого создаётся explorer.exe, аналогичный обнаруженному в текущей фишинговой рассылке; в другой активности используются архив 3D-Komplekt.rar, поддельный установочный файл 3D-Komplekt.msi / OpenVPN-2.7.1.msi / Update_KB839043_26.474.msi, дроппер StickyStrike.exe и стилер explorer.exe.

Чтобы предотвратить такую атаку на организацию, эксперты «Перспективного мониторинга» рекомендуют: 

  • проверять и фильтровать входящие электронные письма средствами антивирусной защиты c модулем «Анти-фишинг»:
  • проводить регулярное обучение сотрудников в области защиты от атак с использованием социальной инженерии;
  • выполнить антивирусную проверку на узлах, убедиться, что установлены актуальные базы сигнатур;
  • ограничить доступ к файлам, имеющим отношение к распространению ВПО;
  • ограничить доступ к следующему сетевому ресурсу, имеющему отношение к C2-серверам злоумышленников: 217.25.220[.]101.

Более детальные рекомендации и индикаторы компрометации размещены на официальном сайте компании «Перспективный мониторинг». 
 

Свежее по теме

UserGate на ЦИПР 2026 рассказал о самых слабых местах для кибератак в ИТ‑инфраструктуре российских компаний
UserGate на ЦИПР 2026 рассказал о самых слабых местах для кибератак в ИТ‑инфраструктуре российских компаний
YADRO и K2 Cloud подписали меморандум о технологическом партнерстве на ЦИПР
YADRO и K2 Cloud подписали меморандум о технологическом партнерстве на ЦИПР
«Группа Астра» и NGR Softlab объединяют усилия для создания программных комплексов на отечественном стеке
«Группа Астра» и NGR Softlab объединяют усилия для создания программных комплексов на отечественном стеке
«18 мне уже»: давний критический баг угрожает публичным веб-сервисам
«18 мне уже»: давний критический баг угрожает публичным веб-сервисам

Интересные ссылки

Автор: Александр Абрамов.

Тематики: Безопасность

Ключевые слова: информационная безопасность, ИнфоТеКС, Перспективный мониторинг