Pull to refresh

Норвегия и Южная Корея подверглись масштабным кибератакам

ESET NOD32 corporate blog Information Security *
На прошлой неделе крупнейшая норвежская телекоммуникационная компания Telenor заявила, что ее внутренняя сеть подверглась атаке, причем этот инцидент классифицируется как промышленный кибершпионаж. Сообщается, что злоумышленники смогли проникнуть во внутреннюю сеть компании, а также получить доступ к персональным компьютерам топ-менеджеров. Специалисты Telenor обратились за помощью к полиции и CERT за расследованием этого инцидента. Менеджер по вопросам информационной безопасности компании — Rune Dyrlie в комментарии заявил, что атакующие смогли получить доступ к конфиденциальной информации сотрудников компании.

Читать дальше →
Total votes 17: ↑13 and ↓4 +9
Views 10K
Comments 5

Расследование таргетированной атаки в Южной Азии

ESET NOD32 corporate blog
В этом посте мы хотим представить наше расследование таргетированной атаки (targeted attack), которая использовалась для похищения конфиденциальной информации из различных организаций по всему миру. В ходе этого расследования было обнаружено, что следы этой атаки уходят в Индию, а наиболее пострадавшей страной является Пакистан. Кроме этого, действия злоумышленников были активны на протяжении как минимум последних двух лет. Отличительной особенностью атаки было использование действительного цифрового сертификата, который использовался для подписания вредоносных исполняемых файлов. Мы также обнаружили эксплойт, который злоумышленники использовали для установки вредоносного кода в систему.

Читать дальше →
Total votes 5: ↑4 and ↓1 +3
Views 6.8K
Comments 3

Бэкдор Win32/Syndicasec.A используется в операции кибершпионажа

ESET NOD32 corporate blog
Недавно мы столкнулись с интересным образцом вредоносного кода, который обнаруживается ESET как Win32/Syndicasec.A. Он обращал на себя внимание по ряду следующих причин:
  • Наша система телеметрии показывает весьма небольшой масштаб заражений данной угрозой, а география распространения ограничивается такими странами как Непал и Китай. Предыдущие версии этого вредоносного кода фиксировались нами начиная с 2010 года.
  • Полезная нагрузка представляет из себя небольшой фрагмент кода на Javascript, который регистрируется с использованием подсистемы Windows WMI.
  • Бэкдор использует веб-сайты поддельных блогов для получения информации о командных C&C серверах. Эти веб-сайты размещаются на доменах, зарегистрированных в Тибете.
  • По своим характеристикам эта операция очень похожа на предыдущие шпионские кампании, направленные против тибетских активистов, такие как OS X Lamadai и другие.

Мы провели детальное исследование этого бэкдора и выяснили детали его установки на скомпрометированный компьютер, используемые им механизмы по поддержанию своего присутствия, а также детали взаимодействия с C&C сервером.

Читать дальше →
Total votes 34: ↑31 and ↓3 +28
Views 10K
Comments 6

Исследование направленной атаки

ESET NOD32 corporate blog
Недавно мы проанализировали четыре вредоносных инструмента, которые использовались в направленных атаках на пользователей Тайваня и Вьетнама. С использованием нашей системы телеметрии мы зафиксировали, что это вредоносное ПО доставлялось пользователям через кампании по распространению фишинговых сообщений. Один из файлов вредоносной программы был доставлен в систему пользователя через почтовый веб-интерфейс вьетнамского государственного учреждения. Злоумышленники использовали специальные фишинговые почтовые сообщений, которые содержали убедительный текст, а также специальные фальшивые документов для заманивания пользователя и усиления эффекта атаки.



По результатам этого исследования нам удалось установить следующие факты:

  • Один и тот же компонент вредоносного кода несколько раз использовался в этих кампаниях.
  • Атаки требовали ручного вмешательства злоумышленника (оператор).
  • В атаках обнаружены следы известной группы APT1 (aka Comment crew).
  • Для первоначального вектора атаки, т. е. для установки вредоносного кода, использовались фишинговые сообщения, которые якобы содержали важные документы.
  • Плохая подготовка злоумышленников: опечатки в конфигурации, наивная реализация криптографических алгоритмов, недостаточная практика в написании кода.
  • Вредоносные программы с четко заданным поведением: одна из угроз не сохраняет свое присутствие после перезагрузки, а другая не делает никаких вредоносных функций до перезагрузки.


Читать дальше →
Total votes 31: ↑28 and ↓3 +25
Views 11K
Comments 2

Троянец-вымогатель Bad Rabbit: плохой, плохой кролик

«Лаборатория Касперского» corporate blog Information Security *

24 октября на нас посыпались уведомления о массовых атаках с помощью троянца-вымогателя Bad Rabbit. Основная цель — российские организации и потребители, но есть сообщения и о пострадавших из Украины.

Вот как выглядит требование выкупа у незадачливых жертв:
Читать дальше →
Total votes 17: ↑15 and ↓2 +13
Views 17K
Comments 7

Security Week 44: тихая охота, или Carbanak в помощь, зачем Firefox функции Tor Browser, лазейка в Google-«баганайзер»

«Лаборатория Касперского» corporate blog Information Security *
Кто не знает Carbanak? Несколько лет назад эти ловкие ребята умело увели, по некоторым данным, до миллиарда долларов из доброй сотни банков России, Украины, США и даже Японии. Наши эксперты выявили группу злоумышленников под кодовым именем Silence, которая старательно копировала лучшие техники Carbanak в попытках добраться банковских счетов.

Технология атаки действительно до боли похожа: через фишинговое письмо сотруднику банка злоумышленникам удается проникнуть в его внутреннюю сеть, обосноваться там и тихонько изучать инфраструктуру, рассылая тем временем “договора” партнерам — то есть такие же вредоносные письма, но уже от имени реальных сотрудников и даже с их подписью. Понятно, что при таком раскладе на заражённое вложение кликнут с большой долей вероятности, чем на письмо от очередного нигерийского благотворителя. Старая-добрая социальная инженерия все еще на коне.
Читать дальше →
Total votes 18: ↑15 and ↓3 +12
Views 7.2K
Comments 6

Всё что вы хотели узнать об XDR в одном посте

Information Security *
Tutorial

Хабр, привет!

На днях мне посчастливилось поучаствовать тут (обойдемся ссылкой на запись, без прямой рекламы), где обсуждалась такая новая тема на рынке ИБ, как XDR.

По горячим следам эфира зафиксирую основные тезисы: мои собственные мысли и факты относительно XDR и, в целом, отвечу на два важных вопроса: что такое XDR? зачем он стал нужен?

Все что вы хотели узнать об XDR
Total votes 2: ↑0 and ↓2 -2
Views 8.4K
Comments 1