Хакеры опубликовали исходные коды приложений Symantec

Хакеры опубликовали исходные коды приложений Symantec

После длительных переговоров и угроз, хакеры все же опубликовали исходные коды для pcAnywhere, а также всю переписку с Symantec. Диалог состоялся посредством электронной почты, однако, по всей видимости, им не удалось договориться.

Опубликованный архив содержит 47000 файлов (1,4 ГБ), среди которых есть как исходные коды программы, так и техническая документация с рекомендациями к разработке и устранению ошибок. Причем в некоторых источниках отмечается, что опубликованными оказались не только исходный код для упомянутой программы, но и антивирусного приложения Norton Antivirus.

Несколько часов назад, в СМИ публиковалась информация о том, что хакеры пытались путем шантажа вынудить компанию заплатить $50000 за их молчание. Стоит отметить, что данная переписка велась агентом ФБР от лица компании.

Согласно заявлению Symantec, как только хакеры попытались их шантажировать, они призвали на помощь правоохранительные органы. И далее, все переговоры вел агент ФБР, выдавая себя за сотрудника компании.

Однако у злоумышленников иная версия. Они заявили, что дело было передано агенту ФБР после того как представитель компании предложил выкупить коды.

Стоит отметить, что у изучивших архив специалистов некоторые файлы с исходным кодом вызвали подозрения об их истинной принадлежности. Как объяснили они, среди прочих, с пометкой об авторском праве Symantec, оказались файлы с измененной датой создания, отмеченные как «Конфиденциальные документы Symantec».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Новая атака Lazarus: вредонос через новостные сайты и баги в софте

Эксперты из команды GReAT обнаружили новую целевую атаку, которую провела группа Lazarus. В этот раз пострадали южнокорейские компании — минимум шесть организаций из разных сфер: от ИТ и финансов до производства и телекоммуникаций. Атака получила название Операция SyncHole.

Сначала злоумышленники заразили популярные новостные сайты — с помощью тактики watering hole.

Это когда вредоносный код размещают на легитимных ресурсах, которые часто посещают нужные хакерам пользователи. Потом фильтровали трафик: не всех, а только «интересных» посетителей перенаправляли на свои серверы, где уже запускалась цепочка заражения.

Один из ключевых элементов атаки — использование уязвимости в Innorix Agent. Это местное ПО, которое применяется для передачи файлов и требуется для работы на многих южнокорейских веб-сайтах, особенно в финансовой и госструктуре. Уязвимость позволяла злоумышленникам попасть во внутреннюю сеть и устанавливать туда свои инструменты — например, бэкдор ThreatNeedle и загрузчик LPEClient.

При анализе атаки специалисты обнаружили в Innorix Agent ещё одну, ранее неизвестную уязвимость. Её не успели использовать, но она могла дать возможность загружать произвольные файлы. Об этом оперативно сообщили местному киберрегулятору и производителю ПО. После чего вышло обновление, а уязвимости присвоили идентификатор KVE-2025-0014.

Интересно, что первый тревожный сигнал пришёл ещё до этого: вредоносные программы ThreatNeedle и SIGNBT заметили в корпоративной сети одной из компаний. Они запускались в памяти обычных процессов, например, SyncHost.exe, и маскировались под вспомогательные компоненты браузеров.

Похоже, что во многих случаях начальная точка заражения была связана с программой Cross EX — она используется для работы защитных решений в браузерах. Её уязвимость также была подтверждена и устранена после публикации соответствующего уведомления южнокорейским агентством по кибербезопасности.

Этот случай снова показывает, насколько опасными могут быть сторонние плагины и вспомогательный софт, особенно если оно с региональной спецификой, устаревшее или имеет повышенные права. Такие компоненты часто менее защищены, но при этом глубоко интегрированы в систему, что делает их удобной мишенью.

Проактивный подход к анализу атак, как в этом случае, помогает выявлять уязвимости до того, как они станут активно использоваться.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru