Google викрила нову хакерську групу, пов’язану з атакою на українські організації за допомогою шкідливого ПЗ CANFAIL
Аналітики команди Google Threat Intelligence Group (GTIG) виявили діяльність невідомої раніше хакерської групи, яку пов’язують із російськими спецслужбами. За даними компанії, зловмисники здійснювали цілеспрямовані атаки на оборонні, військові, урядові та енергетичні структури України — як на регіональному, так і на національному рівнях.
Окрім цього, група проявляє зростаючий інтерес до аерокосмічних підприємств, виробничих компаній, пов’язаних із військовим сектором та безпілотними технологіями, а також до ядерних і хімічних дослідницьких установ та міжнародних організацій, що займаються моніторингом війни й гуманітарною допомогою Україні.
За оцінками GTIG, цей актор є менш технічно складним і ресурсним, ніж інші російські угруповання, однак нещодавно почав подолати певні технічні обмеження, використовуючи великі мовні моделі (LLM). За допомогою таких інструментів хакери проводять розвідку, створюють тексти для соціальної інженерії та шукають технічні рішення для подальших дій після компрометації систем чи налаштування інфраструктури управління (C2).
Фішингові кампанії та методи зараження
Останні атаки включали фішингові кампанії, у межах яких зловмисники видавали себе за українські національні та місцеві енергетичні компанії. Мета — отримати несанкціонований доступ до організаційних і персональних електронних скриньок.
Деякі випадки також стосувалися підміни під румунську енергетичну компанію, що працює з клієнтами в Україні. Окрім цього, хакери проводили розвідку молдовських організацій і націлювалися на румунську фірму, пов’язану з енергетичним сектором.
Щоб підвищити ефективність атак, група формує списки електронних адрес, адаптовані до конкретних регіонів і галузей, використовуючи зібрані дані з відкритих джерел.
Ланцюги атак зазвичай містять приманкові документи, створені за допомогою LLM, які містять посилання на Google Drive. Там розміщено архів RAR із шкідливим ПЗ CANFAIL. Файл має подвійне розширення (*.pdf.js) для маскування під PDF-документ.
CANFAIL — це шифроване шкідливе JavaScript-завантажувач, який запускає PowerShell-скрипт. Той, своєю чергою, завантажує лише у пам’ять основний компонент шкідливого ПЗ — так звану dropper-програму. Паралельно на екрані користувача з’являється фальшиве повідомлення про помилку, щоб приховати зараження.
Зв’язок із кампанією PhantomCaptcha
GTIG також виявила зв’язок цієї групи з кампанією PhantomCaptcha, розкритою SentinelOne SentinelLABS у жовтні 2025 року. Тоді атаки були спрямовані проти організацій, що підтримують Україну в гуманітарній та оборонній сферах.
У тій кампанії кіберзловмисники розсилали фішингові листи, які перенаправляли отримувачів на підроблені вебсторінки з інструкціями у стилі ClickFix. Їх виконання активувало ланцюг зараження й призводило до встановлення трояна на основі WebSocket.
GTIG наголошує, що активність групи триває, а використання штучного інтелекту у кібератаках створює новий виклик для захисту українського кіберпростору під час війни.
Як ми вже писали, Pinterest переповнений рецептами капустяних коктейлів і десертів. TikTok рясніє відео про квашену капусту як «новий суперфуд». Захід щойно «відкрив» те, що українські бабусі знали і робили сотні років. Ласкаво просимо в еру Cabbage Crash — і ні, це не жарт.
Автор: Дмитро Терещенко