ForumTroll охотится на политологов | Блог Касперского

APT-группа «Форумный тролль» (ForumTroll) рассылает ученым-политологам вредоносные письма, имитирующие отчеты о плагиате.

Наши эксперты из команды GReAT обнаружили и исследовали новую волну целевых рассылок за авторством APT-группы «Форумный тролль». Причем если раньше их вредоносные письма отправлялись на публичные адреса организаций, то теперь в качестве получателей злоумышленники выбрали конкретных людей — ученых из российских университетов и других научных организаций, специализирующихся на политологии, международных отношениях и мировой экономике. Целью рассылки было заражение компьютеров жертвы зловредом, обеспечивающим удаленный доступ к устройству.

Как выглядит вредоносное письмо

Письма злоумышленники отправляли с адреса support@e-library{.}wiki, имитирующего адрес научной электронной библиотеки eLibrary (ее реальный домен — elibrary.ru). Внутри содержались персонализированные ссылки, по которым жертве предлагали скачать отчет о проверке какого-то материала на плагиат, что, по замыслу атакующих, должно было заинтересовать ученых.

В реальности по ссылке скачивался архив, размещенный на том же домене e-library{.}wiki. Внутри находился вредоносный ярлык и директория .Thumbs с какими-то изображениями, которые, по всей видимости, были нужны для обхода защитных технологий. В названии архива и вредоносного ярлыка использовались фамилия, имя и отчество жертвы.

В случае если жертва испытывала сомнения в легитимности письма и заходила на страницу e-library{.}wiki, ей показывали несколько устаревшую копию настоящего сайта.

Что происходит, если жертва кликает по вредоносной ссылке

Если получивший письмо ученый кликал по файлу с расширением .lnk, на его компьютере выполнялся вредоносный PowerShell-скрипт, запускающий цепочку заражения. В итоге злоумышленники устанавливали на атакуемую машину коммерческий фреймворк для редтиминга Tuoni, предоставляющий атакующим удаленный доступ и другие возможности для дальнейшей компрометации системы. Помимо этого зловред осуществлял закрепление полезной нагрузки при помощи техники COM Hijacking, а также загружал и демонстрировал жертве отвлекающий PDF-файл, в названии которого также фигурировали фамилия, имя и отчество жертвы. Сам файл, впрочем, не был персонализирован — это был достаточно размытый отчет в формате одной из российских систем проверки на плагиат.

Интересно, что если жертва пыталась открыть вредоносную ссылку с устройства, работающего на системе, не поддерживающей запуск PowerShell, то ей предлагали попробовать еще раз с компьютера под Windows. Более подробный технический разбор атаки вместе с индикаторами компрометации можно найти в посте на сайте Securelist.

Как оставаться в безопасности

Зловреды, используемые в данной атаке, успешно выявляются и блокируются защитными инструментами «Лаборатории Касперского». Мы рекомендуем устанавливать надежные ИБ-решения не только на все устройства, с которых сотрудники выходят в Интернет, но и на почтовый шлюз организации, что позволит останавливать большую часть доставляемых через электронную почту угроз до того, как они окажутся на устройстве сотрудника.

17.12.2025