Инциденты

Заражение серверов Valuehost

Вчера от одного из пользователей Антивируса Касперского поступил сигнал о непонятных действиях браузера при просмотре сайта www.5757.ru: самопроизвольно открывалась вторая страница, и веб-антивирус показывал предупреждение о скачивании троянской программы. На этот сайт пользователь зашел, увидев рекламу по телевидению.

В процессе анализа страницы выяснилось, что пользователь едва не стал жертвой атаки злоумышленников. В главную страницу сайта был встроен скрипт закачки троянской программы Trojan-Downloader.JS.Psyme.ct, которая в свою очередь пыталась закачать и запустить программу Trojan-Downloader.Win32.Tiny.eo. В данный момент с сайта загружается уже другая троянская программа:

Отметим, что веб-антивирус (модуль постоянной защиты Антивируса Касперского 6.0, предохраняющий от исполнения вредоносного кода в браузере) успешно отразил атаку перечисленных выше троянских программ на компьютер пользователя.

Дальнейшее исследование показало, что помимо сайта www.5757.ru хакерской атаке подверглись не менее 470 серверов (результат запроса в Google по строке из внедренного скрипта). Общим для этих серверов было одно: все они были расположены на площадке хостинг-провайдера Valuehost. Администрация Valuehost уведомлена о наличии уязвимости на их серверах, через которую заражаются виртуальные серверы их клиентов.

Valuehost — крупнейший хостинг-провайдер в России, который оказывает услуги веб-хостинга с 2000 года. В сети Valuehost размещается более 60 тысяч Российских веб-сайтов. Компания имеет собственную глобальную IP-сеть, построенную на магистральных маршрутизаторах Juniper M7i и Cisco GSR 12016.

Заражение серверов Valuehost

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике