• Анализ Zebrocy, вредоносного ПО первого этапа группы Fancy Bear

      Sednit, также известные как APT28, Fancy Bear, Sofacy или STRONTIUM – группа злоумышленников, работающих с 2004 года, а может и раньше, основной целью которых является кража конфиденциальной информации у избранных объектов.


      Примерно с конца 2015 года мы наблюдаем развертывание этой группой нового компонента – Zebrocy, загрузчика для Xagent (главного бэкдора Sednit). Лаборатория Касперского впервые упоминает данный компонент в 2017 году в отчете APT trend report и недавно выпустила статью с его описанием.

      Новый компонент – семейство вредоносного ПО, состоящее из загрузчиков и бэкдоров, написанных на Delphi и AutoIt. Они играют в экосистеме Sednit ту же роль, что и Seduploader, – используются в качестве вредоносного ПО первого этапа атаки.

      Читать дальше →
      • +11
      • 2,2k
      • 1
    • ESET обнаружила две 0-day уязвимости в Adobe Reader и Microsoft Windows

        В конце марта 2018 года специалисты ESET обнаружили необычный вредоносный PDF-файл. При ближайшем рассмотрении выяснилось, что в образце используются две ранее неизвестные уязвимости: уязвимость удаленного выполнения кода (RCE) в Adobe Reader и уязвимость повышения привилегий (LPE) в Microsoft Windows.


        Комбинация двух 0-day довольно опасна, поскольку открывает атакующим возможность выполнять произвольный код в целевой системе с максимальными привилегиями и минимальным участием пользователя. АРТ-группы нередко используют подобные сочетания инструментов – например, в кампании Sednit в прошлом году.

        Обнаружив вредоносный PDF, специалисты ESET связались с Microsoft Security Response Center, командами Windows Defender ATP и Adobe Product Security Incident Response Team для закрытия уязвимостей.

        Патчи и рекомендации Adobe и Microsoft доступны по следующим ссылкам:

        APSB18-09
        CVE-2018-8120

        Читать дальше →
        • +12
        • 5,5k
        • 8
      • Как обнаружить FinFisher. Руководство ESET

        • Tutorial
        Благодаря серьезным мерам противодействия анализу, шпионское ПО FinFisher оставалось малоизученным. Это известный инструмент слежки, тем не менее, по предыдущим образцам был опубликован только частичный анализ.

        Ситуация стала меняться летом 2017 года после выполненного ESET анализа кампаний кибершпионажа FinFisher. В ходе исследования мы определили атаки с участием в компрометации жертв интернет-провайдера.



        Когда мы начали анализ малвари, основные усилия были затрачены на преодоление мер по противодействию анализу FinFisher в ее версиях под Windows. Комбинация продвинутого обфусцирования и проприетарной виртуализации делает процесс снятия маскировки с FinFisher крайне трудным.

        В данном руководстве мы делимся тем, чему научились в процессе анализа FinFisher. Кроме советов по анализу виртуальной машины FinFisher, руководство поможет понять защиту при помощи виртуальной машины в целом, то есть проприетарные виртуальные машины, обнаруживаемые в бинарном коде и используемые для защиты ПО.
        Читать дальше →
      • ESET: кибергруппа Lazarus переключилась на Центральную Америку

          Группа Lazarus получила известность после кибератаки на Sony Pictures Entertainment в 2014 году. В 2017 году группа сохраняет активность, используя широкий спектр вредоносных инструментов, включая вайпер KillDisk.

          Наше исследование показало, что Lazarus с большой долей вероятности стоят за атакой на онлайн-казино в Центральной Америке и некоторые другие цели в конце 2017 года. В этих инцидентах атакующие использовали одни и те же инструменты, в том числе KillDisk, который запускался на скомпрометированных устройствах.

          Читать дальше →
        • ESET: бэкдор Mosquito группы Turla используется в Восточной Европе

            Turla – одна из наиболее известных кибергрупп, специализирующихся на шпионаже. В ее арсенале обширный набор инструментов, наиболее продвинутые из которых используются для установки на приоритетные для атакующих машины. Платформа для шпионажа преимущественно ориентирована на Windows, но может использоваться для macOS и Linux с помощью различных бэкдоров и руткита.

            Не так давно мы обнаружили новый метод компрометации рабочих станций, который использует Turla. Данная техника применяется в атаках, нацеленных на сотрудников посольств и консульств стран постсоветского пространства.


            Читать дальше →
          • Hacking Team снова в деле: ESET обнаружила новые образцы шпионского ПО компании

              С момента основания в 2003 году итальянский разработчик программного обеспечения для кибершпионажа Hacking Team приобрел известность, продавая свои продукты правительствам и спецслужбам во всем мире. Возможности флагмана компании – Remote Control System (RCS) – включают извлечение файлов с целевого устройства, перехват писем и сообщений, а также удаленное управление веб-камерой и микрофоном.

              ESET обнаружила в 14 странах мира ранее неизвестные образцы RCS. Анализ новых образцов позволяет сделать вывод о том, что разработку этих программных инструментов продолжает сама Hacking Team.


              Читать дальше →
            • Вредоносное ПО для кражи биткоинов распространялось через Download.com

                Если вы спросите ИТ-специалиста о базовых мерах безопасности в интернете, он, вероятно, посоветует загружать софт только с легитимных площадок. Жаль, что это не панацея. Мы обнаружили три троянизированных приложения, размещенных на download.cnet.com – одном из наиболее популярных сайтов в мире (163 в рейтинге Alexa).



                Читать дальше →
              • Шифратор BitPaymer (FriedEx) создали авторы банковского трояна Dridex

                  Dridex успешно атаковал частных пользователей, компании и финансовые организации на протяжении нескольких лет, став нарицательным категории банковских троянов.

                  Новое исследование ESET доказывает, что авторы Dridex стоят за другим известным семейством вредоносных программ – сложным шифратором BitPaymer, который детектируется антивирусными продуктами ESET как Win32/Filecoder.FriedEx и Win64/ Filecoder.FriedEx.



                  Читать дальше →
                • Год медведя. Как Fancy Bear провели 2017 год

                    Кибергруппа Sednit, более известная как Fancy Bear (Strontium, APT28, Sofacy), действует как минимум с 2004 года. Ее основная цель – кража конфиденциальной информации у высокопоставленных должностных лиц.


                    В статье собраны выводы из презентации ESET, озвученной на конференции BlueHat в ноябре 2017 года. Ранее в 2016 году мы публиковали исследование о деятельности Sednit с 2014 по 2016 гг. С того времени мы продолжали следить за операциями группы и сегодня представляем обзор основных кампаний и обновленных инструментов. В первой части отчета расскажем о новых способах компрометации целевых систем. Вторая часть посвящена эволюции инструментов, в фокусе флагман группы – вредоносная программа Xagent.

                    Читать дальше →
                  • Новая спайварь StrongPity2 сменила FinFisher в кампании кибершпионажа с возможным участием интернет-провайдера

                      Продолжая исследование операции кибершпионажа с явными следами участия в схеме крупного интернет-провайдера, мы обнаружили, что известное шпионское ПО FinFisher (FinSpy) сменила другая программа. Новая спайварь Win32/StrongPity2 заметно напоминает программу, авторство которой приписывают кибергруппе StrongPity. Все продукты ESET, включая бесплатный инструмент ESET Online Scanner, детектируют и блокируют угрозу, а также устраняют StrongPity2 из скомпрометированной системы.



                      Как мы писали в сентябре, в двух странах мира для распространения FinFisher использовались атаки man-in-the-middle, и в большинстве случаев упомянутый «man» с немалой долей вероятности находился на уровне интернет-провайдера. По данным телеметрии ESET, кампании были прекращены 21 сентября 2017 года – в день публикации нашего отчета.

                      8 октября в одной из двух стран стартовала идентичная кампания, использующая ту же самую (причем довольно необычную) структуру перенаправлений НТТР для переадресации браузеров «на лету», только теперь вместо FinFisher распространялся Win32/StrongPity2. Мы изучили новое шпионское ПО и обнаружили сходство с программой, которую в прошлом предположительно использовала группа StrongPity.

                      Читать дальше →
                    Самое читаемое