Архив

Ботнет MayDay атакует корпоративные сети

Специалисты по сетевой безопасности выявили новый ботнет, специализирующийся на рассылке поддельных извещений о состоянии кредита, снабженных «троянскими» pdf-вложениями. Ботнет, получивший условное название MayDay, ориентирован на работу в условиях защищенных корпоративных сетей и использует для связи с командным сервером http-протокол.

Эксперты установили, что прикрепленный к спамовым письмам pdf-файл содержит программу-даунлоудер. Согласно классификации «Лаборатории Касперского», она является представителем семейства Backdoor.Win32.Mayday. После активации троянец посредством http-запросов через прокси-сервер устанавливает связь с командным сервером и загружает на компьютер жертвы другие программы, необходимые для ведения спам-рассылок и осуществления отчетности.

Эксперты установили также, что для поддержания связи между своими элементами в случае отключения командного сервера ботнет использует протоколы TCP и ICMP. В целях маскировки длительность сеансов связи зараженных машин с командным сервером ограничена. Адрес выявленного командного сервера принадлежит домену «.co.uk».

По оценке наблюдателей за деятельностью ботнетов из компании Damballa, размеры MayDay пока невелики. Ботнет составляют несколько тысяч инфицированных ПК, работающих преимущественно во внутренних сетях крупных бизнес-структур (включая компании, входящие в список Fortune 50), учебных заведений и ведущих интернет-провайдеров. 96,5% ресурсов MayDay расположены на территории США, 2,5% — в Канаде.

Тем не менее, специалисты по безопасности сходятся во мнении, что узкая специализация ботнета и применение технических средств камуфляжа создают предпосылки для его дальнейшей экспансии, а ущерб от его деятельности в Интернете может оказаться весьма значительным.

Источник: DARKREADING

Источник: TheRegister

Ботнет MayDay атакует корпоративные сети

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике