
Чемпионат по контрактам: изучаем эволюцию атак киберпреступной группировки xplogs22
EditorF6 13 минут назад Чемпионат по контрактам: изучаем эволюцию атак киберпреступной группировки xplogs22 Средний 5 мин 472 Блог компании F6 Информационная безопасность * Киберпреступные группы, атакующие Россию,...
<5 — 2026'da uzaya kaç SpaceX Starship fırlatması ulaşacak?
Значимый прорыв формирует отрасль ИИ: EditorF6 13 минут назад Чемпионат по контрактам: изучаем эволюцию атак киберпреступной группировки xplogs22 Средний 5 мин 472 Блог компании F6 Информационная безопасность * Киберпреступные группы, атакующие Россию, отличаются разнообразием. Среди них есть те, кто специализируется на взломе исключительно российских компаний, а есть и такие, для кого организации в РФ — главная, но далеко не единственная цель. И среди них есть тоже разделение: одни киберпреступники предпочитают работать преимущественно по странам СНГ, а другие масштабируют свои атаки — на Западную Европу, Ближний Восток и Юго-Восточную Азию.
В этом блоге разберем атаки группы, которой специалисты F6 Threat Intelligence присвоили название xplogs22 — по электронному адресу, использовавшемуся злоумышленниками в атаках для эксфильтрации похищенных данных. xplogs22 — киберпреступная группировка, активная как минимум с ноября 2023 года. Проводит массовые фишинговые атаки на организации из разных стран.
Технические детали
Использует в атаках троян удалённого доступа XWorm, ранее применяла вредоносное ПО SnakeKeylogger и стилер FormBookFormgrabber. Обнаруженные специалистами F6 атаки xplogs22 преимущественно нацелены на Россию и другие страны СНГ. Большинство текстов писем группы написаны на русском языке, но встречаются также письма на английском, арабском, казахском и турецком.
Большая часть фишинговых писем связана с юридической тематикой оформления и заключения договоров. Компании, которые атакует группировка, в основном относятся к таким отраслям, как:торговля;энергетика;промышленность;наука и инженерия;строительство;здравоохранение;информационные технологии;финансы;развлечения;телекоммуникации;спорт;добыча полезных ископаемых;ЖКХ;сельское хозяйство;транспорт. В ранних атаках злоумышленники использовали в рассылках вредоносную программу SnakeKeylogger, также было обнаружено несколько атак с применением стилера FormBook.
С июля 2025 года данный кластер активности начал рассылать письма с трояном удаленного доступа XWorm и вносить изменения в цепочки атак. Кампания с использованием XWorm на момент исследования в июле 2026 года продолжается. За это время злоумышленники отправили компаниям более 2900 фишинговых писем.
Отраслевые последствия
В этом блоге исследуем хронологию активности группировки xplogs22 и акцентируем внимание на свежих атаках с использованием XWorm и их технических деталях. Основные характеристики xplogs22В январе 2025 года в процессе мониторинга угроз в системе F6 MXDR специалисты Threat Intelligence обнаружили несколько фишинговых писем на русском языке с темой «Договор», отправленных со скомпрометированного электронного адреса российской компании. В качестве вложений к письмам злоумышленники использовали архив Contract.
bz с файлом Contract. exe внутри, запуск которого заражал систему вредоносным ПО SnakeKeylogger. SnakeKeylogger — вредоносное ПО, впервые обнаруженное в 2020 году.
Совмещает возможности стилера и кейлогера.
Событие, по словам экспертов, усилит конкуренцию в сфере ИИ.





