RevengeHotels: киберкампания атак на гостиницы по всему миру

RevengeHotels — это целевая кибермошенническая кампания, направленная против гостиниц, хостелов и прочих организаций из сферы туризма, и индустрии гостеприимства. Большинство мишеней расположено в Бразилии: от атак RevengeHotels пострадало более 20 типов гостиниц. Прочитать полный текст статьи

Titanium: APT-группа Platinum снова атакует

Platinum является одной из самых технологически продвинутых APT-группировок и традиционно действует в Азиатско-Тихоокеанском регионе. Недавно мы обнаружили, что группа использует новый инструмент — бэкдор, который мы назвали Titanium. Прочитать полный текст статьи

DarkUniverse – загадочный APT-фреймворк #27

Утечка «Lost in translation», среди прочего, содержала интересный скрипт, проверяющий наличие следов других APT в скомпрометированной системе. В 2018 году мы обнаружили APT, описанную 27-й функцией этого скрипта, и назвали ее «DarkUniverse». Прочитать полный текст статьи

Topinambour — новое орудие в арсенале Turla

Судя по всему, в 2019 году участники Turla начали активно обновлять свой арсенал. Используя прежний, хорошо знакомый экспертам стиль написания кода, они создают совершенно новые инструменты. Эта статья посвящена нескольким из них — а именно Topinambour и связанным с ним модулям. Прочитать полный текст статьи

Операция ShadowHammer

Расследование ShadowHammer – атаки на цепочки поставок, в которой использовалась утилита ASUS Live Update, еще продолжается, его результаты будут опубликованы на конференции SAS 2019. А пока мы хотели бы сообщить о некоторых важных обстоятельствах инцидента. Прочитать полный текст статьи

Пересечение активности GreyEnergy и Zebrocy

Мы обнаружили пересечение активности группы GreyEnergy, которая считается преемником группы BlackEnergy и подмножества группы Sofacy, которое получило название Zebrocy. Обе группы использовали одни и те же серверы в одно и то же время и атаковали одну и ту же организацию. Прочитать полный текст статьи

DarkPulsar

В ходе анализа содержимого утечки «Lost in Translation» мы обнаружили утилиту в категории «implants», которая была названа DarkPulsar. Мы изучили ее и поняли, что эта утилита не является собственно бэкдором – это только рабочий инструмент администратора бэкдора. Прочитать полный текст статьи

Кибергруппировка LuckyMouse подписала вредоносный драйвер сертификатом китайской IT-компании

Что произошло? За последние полгода мы обнаружили несколько случаев заражения, в ходе которых в память системного процесса lsass.exe был внедрен ранее неизвестный троянец. Импланты были внедрены посредством 32- и 64-битных версий драйвера, которому атакующие дали название NDISProxy, и который также… Прочитать полный текст статьи