"Форумный тролль": отчет о плагиате может стоить инфраструктуры
В марте 2025 года специалистами «Лаборатории Касперского» была выявлена операция «Форумный тролль», представлявшая собой серию комплексных кибератак на российские организации. Для проведения этих атак использовалась критически опасная уязвимость CVE-2025-2783 в браузере Google Chrome, позволяющая обходить защитные механизмы («песочницу»). В результате успешных проникновений использовались два вредоносных инструмента: бэкдор LeetAgent и специализированное шпионское программное обеспечение Dante. Несмотря на первоначальные успехи, злоумышленники не прекратили деятельность и начали новые волны атак против российских целей.
Осень 2025: Новая волна фишинга
За несколько дней до представления подробного доклада на международной конференции Security Analyst Summit в октябре 2025 года команда «Лаборатории Касперского» раскрыла новую целенаправленную фишинг-кампанию APT-группы ForumTroll. Отличительной чертой этой атаки стало изменение стратегии: теперь целью становились конкретные лица: политологи, ученые в сфере международных отношений и экономики, представители престижных ВУЗов и исследовательских институтов России.
Атаки распространялись посредством фишинговых писем, исходящих с адреса support@e-library[.]wiki, подделанного под популярную российскую электронную библиотеку elibrary.ru. Пользователям присылались ложные письма с предложением проверить статью на наличие заимствования текста. Письма содержали вредоносную ссылку следующего типа:
Переход по ссылке инициировал процесс загрузки зловреда, замаскированного под отчёт о проверке уникальности. Архив назывался именем конкретного ученого (<Фамилия_И.О.>.zip), чтобы создать иллюзию персонального обращения.
Атаку тщательно спланировали заранее: мошеннический домен e-library[.]wiki был куплен ещё в марте 2025 года. Злоумышленники стремились придать своей активности вид естественного трафика и избежать подозрений антивирусных инструментов. На фальшивом ресурсе e-library[.]wiki размещён дубликат официального сайта elibrary.ru, создававший впечатление подлинности.
Заражение компьютеров происходило следующим образом:
Пользователь переходил по вложённой ссылке и получал вредоносный zip-архив.
Внутри архива находился исполняемый файл (.lnk), маскировавшийся под личный отчет о проверке.
При открытии ярлыка происходила закачка вредоносного скрипта на ПК жертвы.
Скрипт автоматически загружал дополнительные модули программы-шпиона, закрепляя их в системе с использованием техники COM Hijacking.
По завершении процесса устанавливалось вредоносное ПО — коммерческая программа Tuoni, предназначенная для шпионажа и взлома корпоративных сетей. Эта программа обеспечивала полный контроль над устройством жертвы и дальнейшее распространение угрозы внутри сети.
Исследователи столкнулись с дополнительным препятствием при анализе угрозы: атакующие настроили систему таким образом, что повторно скачать архив невозможно. Получаемое сообщение гласит, что такая возможность исчерпана. Проверка работоспособности архива на платформе отличной от Windows (например, Linux или macOS) также осложнялась — система предупреждала, что успешная загрузка возможна исключительно с компьютера на базе Windows.
Архив, загружаемый жертвами, имел следующую структуру:
Ярлык .lnk, включённый в название жертвы, предназначенный для скрытого исполнения вредоносного кода.
Папка .Thumbs, содержащая сотни изображений с русскоязычными названиями. Изображения не играли роли в процессе заражения, скорее служили отвлекающим фактором, призванным снизить вероятность обнаружения вируса антивирусными средствами.
Нажатие на ярлык вызывает выполнение сценария PowerShell, основной задачей которого является подключение к внешнему вредоносному серверу и получение оттуда дополнительной части вредоносного программного обеспечения. Данный механизм позволяет злоумышленникам устанавливать долговременный контроль над компьютером жертвы и обеспечивает возможность дальнейшего расширения зоны поражения.
Получаемая дополнительная полезная нагрузка выполняет следующий алгоритм действий: 1. Запрашивает данные по адресу вида https://e-library[.]wiki/elib/query.php?id=<8 символов>&key=<32 символа>, получая итоговый объект в форме динамической библиотеки (DLL). 2. Сохраняет полученный файл в директории %localappdata%\\Microsoft\\Windows\\Explorer\\iconcache_<случайные цифры>.dll. 3. Интегрирует вредоносный код в систему методом COM Hijacking, создавая запись в реестре по пути HKCR\\CLSID\\{1f486a52-3cb1-48fd-8f50-b8dc300d9f9d}\\InProcServer32, куда вставляется путь к загруженному DLL-файлу. Важно заметить, что аналогичную тактику группа использовала и в первой волне атак весной. 4. Затем открывается специально созданная приманка в виде PDF-документа по ссылке https://e-library[.]wiki/pdf/<8 символов>.pdf, сохраняя его в стандартную папку «Загрузки» с названием, соответствующим личным данным жертвы: <Фамилия>_<Имя>_<Отчество>.pdf. Документ визуально выглядит как шаблон отчета проверки на плагиат, но фактически никакой значимой информации не содержит.
Последний элемент загрузки представляет собой специальный DLL-файл, зашифрованный с применением технологии OLLVM. Изначально такими методами внедрялись уникальные компоненты, такие как LeetAgent и Dante, однако в данном случае атакующие выбрали широко известное решение — фреймворк Tuoni, созданный для эксплуатации корпоративной инфраструктуры и позволяющий удаленно управлять устройствами.
Для координации взаимодействия с командными серверами снова выбран хостинг-сервис fastly.net.
APT-группа ForumTroll продемонстрировала сходство обеих атак, проведённых весной и осенью 2025 года. Во-первых, обе атаки базируются на методах фишинга, вовлекающих доверчивых пользователей. Во-вторых, внедрение вредоносных компонентов осуществляется через одинаковую технологию COM Hijacking. Наконец, для активации вредоносного ПО применяется одна и та же утилита-загрузчик.
Однако осенняя серия отличается меньшей сложностью по сравнению с весенними действиями. Весной участники атаковали цели, используя уязвимости нулевого дня, тогда как осенью основным инструментом стала простая социальная инженерия, рассчитанная на человеческие слабости и отсутствие должной осторожности.
Группа ForumTroll стабильно ведет активную деятельность с 2022 года, ориентируясь преимущественно на Россию и Беларусь. Исследования будущих шагов данной группировки могут привести к открытию новых скрытых видов вредоносного ПО, созданных коммерческими структурами, подобным случаю с программным обеспечением Dante.
Мы внедряем системы информационной безопасности в Свердловской области и Севастополе!
Благодаря многолетнему опыту и команде экспертов, знаем, что важно для IT-инфраструктуры и как защититься от киберугроз во всех сферах деятельности.