Инциденты

В Иране Duqu сначала засветился как

Мы продолжаем изучать целевую атаку Duqu, и вот новая информация, которая позволяет предположить, что этот зловред был создан специально, чтобы шпионить за иранской ядерной программой.

История вопроса и несколько фактов:

В апреле этого года Иран заявил, что стал жертвой кибератаки, содержащей вирус Stars. В этой статье изложены некоторые дополнительные детали атаки.

Сегодня мы можем подтвердить, что некоторые цели Duqu были поражены 21 апреля с использованием того же самого метода, включая использование уязвимости CVE-2011-3402, эксплойта базового уровня для win32k.sys, внедренного через True Type Font (TTF) файл.

По данным IrCERT (Iran’s Computer Emergency Response Team) Duqu — это усовершенствованная модификация Stars.

Если информация в этих отчетах верна, то это означает, что Duqu был создан специально, чтобы шпионить за иранской ядерной программой.

4 ноября ООН заявила, что в планах Ирана — создание компьютерных моделей ядерных боеголовок.

«Источник также сообщил, что разведывательные службы в более чем 10 странах мира имеют сведения о тайных разработках Ираном компонентов ядерной программы вооружений, в том числе имплозивного типа».

Было бы неудивительно, если бы Stars и Duqu использовались для сбора информации такого рода.

В Иране Duqu сначала засветился как

Ваш e-mail не будет опубликован.

 

Отчеты

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике