Архив новостей

Ботнеты: игра в прятки на Web 2.0

Операторы ботнетов, стремясь скрыть служебный трафик от обнаружения, направляют его по легитимным веб-каналам. Их последним нововведением является использование возможностей, предоставляемых социальными сервисами — Twitter и Google Groups.

В середине августа эксперты Arbor Networks обнаружили в микроблогах Twitter несколько аккаунтов, с которых осуществлялось управление резидентными даунлоудерами. Бот-агент получал зашифрованные команды в виде статусных сообщений, передаваемых по RSS-каналу. В них указывались ссылки на файл, подлежащий загрузке, — программу, ворующую пароли клиентов бразильских банков. Когда профили, задействованные для управления ботнетом, заблокировали, аналогичная система управления всплыла на Jaiku.com.

Спустя месяц антивирусная база Symantec пополнилась программой-бэкдором, которой было присвоено наименование Trojan.Grups. Этот ничем не примечательный троянец, используя Gmail-аккаунт, регистрируется на Google Groups и запрашивает определенную страницу в одной из тематических конференций, escape2sun. Как выяснилось, страница содержит зашифрованные команды, выполнив которые, бот-агент публикует отчет в конференции, также предопределенным шифром.

Таким образом, оператор ботнета получил возможность анонимно контролировать зараженные ресурсы, не раскошеливаясь на командный сервер и его защиту. Однако, по словам экспертов, применяемая злоумышленниками методика управления небезупречна. Ведение троянцем отчетности через постинги позволяет следить за его активностью, наблюдать распространение инфекции и определить цели, преследуемые его повелителем.

По данным Symantec, Trojan.Grups был запущен в ноябре прошлого года. Поскольку общение в escape2sun ведется на упрощенном китайском языке, а в командах присутствуют ссылки на домены в зоне .tw, велика вероятность, что его владельцы живут на Тайване. Судя по низкой активности, небольшому количеству заражений и скромным срокам присутствия на зараженной машине, троянец предназначен для проведения точечных атак с целью промышленного шпионажа. Некоторые особенности исходного кода свидетельствуют о том, что это экспериментальная версия, призванная проверить эффективность нового способа управления.

Ботнеты: игра в прятки на Web 2.0

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике