Операция ShadowHammer

Расследование ShadowHammer – атаки на цепочки поставок, в которой использовалась утилита ASUS Live Update, еще продолжается, его результаты будут опубликованы на конференции SAS 2019. А пока мы хотели бы сообщить о некоторых важных обстоятельствах инцидента. Прочитать полный текст статьи

Пересечение активности GreyEnergy и Zebrocy

Мы обнаружили пересечение активности группы GreyEnergy, которая считается преемником группы BlackEnergy и подмножества группы Sofacy, которое получило название Zebrocy. Обе группы использовали одни и те же серверы в одно и то же время и атаковали одну и ту же организацию. Прочитать полный текст статьи

DarkPulsar

В ходе анализа содержимого утечки «Lost in Translation» мы обнаружили утилиту в категории «implants», которая была названа DarkPulsar. Мы изучили ее и поняли, что эта утилита не является собственно бэкдором – это только рабочий инструмент администратора бэкдора. Прочитать полный текст статьи

Кибергруппировка LuckyMouse подписала вредоносный драйвер сертификатом китайской IT-компании

Что произошло? За последние полгода мы обнаружили несколько случаев заражения, в ходе которых в память системного процесса lsass.exe был внедрен ранее неизвестный троянец. Импланты были внедрены посредством 32- и 64-битных версий драйвера, которому атакующие дали название NDISProxy, и который также… Прочитать полный текст статьи

Как взломали национальный ЦОД для атаки watering hole на государственные сайты

В марте 2018 г. «Лаборатория Касперского» обнаружила активную целевую атаку, направленную на национальный центр обработки данных (ЦОД) одной из стран Центральной Азии. Как показала наша телеметрия, кампания началась осенью 2017 года. Особенной эту атаку делает выбор в качестве мишени именно национального дата-центра: ее операторы получили доступ сразу к целому ряду правительственных ресурсов. Прочитать полный текст статьи

Energetic Bear/Crouching Yeti: атаки на серверы

В этом отчете представлены сведения об обнаруженных серверах, зараженных и используемых группировкой Energetic Bear/Crouching Yeti, а также приведены результаты анализа нескольких веб-серверов, скомпрометированных группой в течение 2016 – в начале 2017 года. Прочитать полный текст статьи

Червь OlympicDestroyer

Через пару дней после церемонии открытия Зимней олимпиады в Пхенчхане, Южная Корея, мы на условиях неразглашения (TLP:Red) получили от партнера информацию о сокрушительной вредоносной атаке на инфраструктуру Олимпийских игр. Прочитать полный текст статьи

Skygofree: по стопам HackingTeam

В начале октября 2017 года мы обнаружили нового троянца-шпиона для ОС Android, имеющего в своем арсенале несколько интересных функций, до этого не использовавшихся в известных нам троянцах. Мы уверены, что разработчик Skygofree является итальянской ИТ-компанией, которая работает над решениями для слежки за пользователями, как и HackingTeam. Прочитать полный текст статьи