В конце октября 2025 года эксперты по безопасности выявили опасную рассылку. Злоумышленники использовали фальшивые военные документы в ZIP-архивах для атак на целевую аудиторию. Эта активность, получившая название Skycloak, направлена на скрытую установку бэкдора. Он использует OpenSSH и скрытые сервисы для долгосрочного контроля над системами жертв, демонстрируя продвинутый уровень угрозы.
Таргетированные вылазки на оборонные активы
31 октября 2025 г. специалисты по информационной безопасности зафиксировали новую волну сложных кибератак под кодовым именем Skycloak. Как установлено, неизвестные злоумышленники сосредоточили усилия на оборонных предприятиях России и Белоруссии. В качестве приманки преступники применяли искусно сфабрикованные документы военного характера.
Злоумышленники развернули фишинговую кампанию, нацелившись на критически важную инфраструктуру. Ключевая задача атак — незаметное внедрение многоступенчатого бэкдора через сервисы OpenSSH в сочетании с ресурсами анонимной сети Tor. Для маскировки трафика применяется продвинутый протокол оbfuscated4 (obfs4), делающий соединения неотличимыми от легитимного зашифрованного потока.
Мосты Tor, использующие obfs3 и obfs4, уже много лет обеспечивают подключение к сети. Эти серверы отсутствуют в публичных списках Tor Project, их адреса распространяются по особым каналам. Протокол obfs4 вводит дополнительный эшелон шифрования между пользователем и мостом, генерируя трафик, похожий на случайные данные. Он также эффективно противодействует методам активного зондирования при попытках обнаружения мостов.
Механизм реализации угрозы
Анализ показал, что фишинговые письма замаскированы под официальные документы оборонной тематики. Вложения содержат ZIP-архив с программным ярлыком Windows (LNK) и дополнительным архивом внутри. Файлы LNK обеспечивают прямой запуск программ, минуя необходимость навигации по файловой системе и поиск исполняемых элементов.
Оборонные предприятия России и Белоруссии столкнулись с вызовом, где фальшивые военные документы стали главной приманкой злоумышленников.
Простой клик по ярлыку запускает смертоносную цепь PowerShell-скриптов, мгновенно загружающих скрытые компоненты вредоносной программы. На старте — безжалостная проверка системы на излишнюю "стерильность": скрипт подсчитывает ярлыки на рабочем столе и активные процессы. Если цифры подозрительно малы, как в виртуальных средах октября 2025 года, — выполнение резко обрывается. Так злоумышленники рубят корни автоматическому анализу.
Установка зловреда
Приманкой служит якобы белорусский армейский документ «ТЛГ на убытие на переподготовку.pdf». Обойдя защиту, скрипт молниеносно действует по двум фронтам: вводит пользователя в заблуждение фальшивым PDF и внедряет в систему хитрую запланированную задачу "githubdesktopMaintenance". С её помощью каждый сеанс пользователя скрытно запускает переименованный sshd.exe (настоящий код OpenSSH!), замаскированный под githubdesktop.exe в каталоге logicpro.
Через этот легальный инструмент атакующие вытягивают управляемый SSH-доступ к захваченной машине! Маскировка под GitHub Desktop и законный OpenSSH-сервер растворяет их связь в потоке фоновых процессов. Следующий клин — переделанный Tor-бинарник pinterest.exe, также работающий по таймеру. Его цель: поднять неуязвимую hidden service, соединяющуюся с .onion операторов через obfs4-трафик. Он наносит главный удар — тайно проксирует доступ к RDP, SMB и SSH напрямую через Tor, обходя любые блокировки и системы наблюдения.
Невидимый захват
Как только бэкдор внедрен, он отсылает донесение о заражённой системе (с уникальным .onion-адресом!) через curl. Теперь операторы получают в руки полный теневой контроль над машиной жертвы через зашифрованный C2-канал в сети Tor. Каждое их действие — фантом, неуязвимый для блокировок и невидимый для рутинных систем.
Максимальная скрытность
Специалисты Cyble и Seqrite Labs бьют тревогу: вся цепочка — от филигранной маскировки до выбора целей — кричит о мастерской шпионской операции с корнями в Восточной Европе! Все улики указывают, что первый шаг атаки стартовал из Белоруссии в октябре 2025 года.
Особенности современной защиты данных
Исследователи обращают внимание на продуманную архитектуру решения, которая предоставляет высокий уровень конфиденциальности. Взаимодействие с управляющими серверами происходит исключительно через защищенную сеть Tor, а предварительно настроенные SSH-ключи исключают явные следы сетевой активности, что превращает выявление угрозы в технически сложную задачу.
Преимущества в области кибербезопасности
Эксперты выделяют исключительную эффективность данного подхода в обеспечении конфиденциальности. Использование заранее прописанных ключей для SSH-соединений в сочетании с маршрутизацией трафика через Tor позволяет минимизировать цифровой след и создает значительные преимущества для незаметной работы, открывая новые возможности для совершенствования защитных систем.
Источник: biz.cnews.ru
