Titanium: APT-группа Platinum снова атакует

Platinum является одной из самых технологически продвинутых APT-группировок и традиционно действует в Азиатско-Тихоокеанском регионе. Недавно мы обнаружили, что группа использует новый инструмент — бэкдор, который мы назвали Titanium. Прочитать полный текст статьи

DarkUniverse – загадочный APT-фреймворк #27

Утечка «Lost in translation», среди прочего, содержала интересный скрипт, проверяющий наличие следов других APT в скомпрометированной системе. В 2018 году мы обнаружили APT, описанную 27-й функцией этого скрипта, и назвали ее «DarkUniverse». Прочитать полный текст статьи

Topinambour — новое орудие в арсенале Turla

Судя по всему, в 2019 году участники Turla начали активно обновлять свой арсенал. Используя прежний, хорошо знакомый экспертам стиль написания кода, они создают совершенно новые инструменты. Эта статья посвящена нескольким из них — а именно Topinambour и связанным с ним модулям. Прочитать полный текст статьи

Операция ShadowHammer

Расследование ShadowHammer – атаки на цепочки поставок, в которой использовалась утилита ASUS Live Update, еще продолжается, его результаты будут опубликованы на конференции SAS 2019. А пока мы хотели бы сообщить о некоторых важных обстоятельствах инцидента. Прочитать полный текст статьи

Пересечение активности GreyEnergy и Zebrocy

Мы обнаружили пересечение активности группы GreyEnergy, которая считается преемником группы BlackEnergy и подмножества группы Sofacy, которое получило название Zebrocy. Обе группы использовали одни и те же серверы в одно и то же время и атаковали одну и ту же организацию. Прочитать полный текст статьи

DarkPulsar

В ходе анализа содержимого утечки «Lost in Translation» мы обнаружили утилиту в категории «implants», которая была названа DarkPulsar. Мы изучили ее и поняли, что эта утилита не является собственно бэкдором – это только рабочий инструмент администратора бэкдора. Прочитать полный текст статьи

Кибергруппировка LuckyMouse подписала вредоносный драйвер сертификатом китайской IT-компании

Что произошло? За последние полгода мы обнаружили несколько случаев заражения, в ходе которых в память системного процесса lsass.exe был внедрен ранее неизвестный троянец. Импланты были внедрены посредством 32- и 64-битных версий драйвера, которому атакующие дали название NDISProxy, и который также… Прочитать полный текст статьи

Как взломали национальный ЦОД для атаки watering hole на государственные сайты

В марте 2018 г. «Лаборатория Касперского» обнаружила активную целевую атаку, направленную на национальный центр обработки данных (ЦОД) одной из стран Центральной Азии. Как показала наша телеметрия, кампания началась осенью 2017 года. Особенной эту атаку делает выбор в качестве мишени именно национального дата-центра: ее операторы получили доступ сразу к целому ряду правительственных ресурсов. Прочитать полный текст статьи