Кибершпионы Winnti заразили российскую компанию зловредом 2006 года

Кибершпионы Winnti заразили российскую компанию зловредом 2006 года

Эксперты «Лаборатории Касперского», отслеживающие деятельность киберпреступной группировки Winnti, обнаружили активную угрозу, основным инструментом которой является установщик буткита образца 2006 года.

Угроза, названная HDRoot, представляет собой универсальную платформу, которая заражает компьютер жертвы и может быть использована для запуска других инструментов атаки в операционной системе. «Лаборатория Касперского» обнаружила следы заражения HDRoot в российской компании, которая и раньше становилась жертвой атак Winnti.

Группировка Winnti специализируется на проведении кампаний кибершпионажа против производителей ПО, особенно в области компьютерных онлайн-игр. Недавно было обнаружено, что спектр ее мишеней стал шире и теперь включает в себя фармацевтические и телекоммуникационные компании.

HDRoot был обнаружен, когда эксперты «Лаборатории Касперского» обратили внимание на подозрительный образец вредоносного ПО, обладающий рядом необычных характеристик. В частности, код был защищен от анализа с помощью программы VMProtect, подписанной известным скомпрометированным сертификатом, который принадлежит китайской компании Guangzhou YuanLuo Technology. Этот сертификат уже использовался группировкой Winnti для совершения атак. Кроме того, исполняемый файл был замаскирован под Microsoft Net Command net.exe, очевидно, чтобы снизить риск обнаружения вредоносной программы системными администраторами.

Эксперты «Лаборатории Касперского» обнаружили два типа бэкдоров, запускаемых с помощью платформы HDRoot, но их может быть и больше. Один из этих бэкдоров обходил целый ряд южнокорейских антивирусных средств. Это указывает на то, что группировка Winnti использовала его для запуска вредоносного ПО в целевых системах в Южной Корее. Судя по географии заражения, именно эта страна представляет наибольший интерес для атакующих. В число жертв также входят организации в Японии, Китае, Бангладеш и Индонезии, а также британская и российская компании.

«Одной из основных задач преступников при проведении любой целевой атаки — сохранить ее в тайне. Вот почему они редко используют сложное шифрование кода — это будет привлекать внимание. В данном случае группировка Winnti рискнула, так как нужно было спрятать строчки в теле программы, явно выдающие ее вредоносность. Возможно, злоумышленникам хорошо известно, насколько далеко в своем большинстве администраторы заходят в анализе подозрительных файлов, и знают, что именно нужно скрыть, а что жертвы могут проглядеть. Ведь организации не всегда своевременно внедряют необходимые политики безопасности. Системным администраторам приходится отслеживать очень многое, поэтому, если штат IT-специалистов в компании небольшой, шансы киберпреступников на то, что их деятельность останется незамеченной, особенно высоки», — комментирует Дмитрий Тараканов, ведущий антивирусный эксперт «Лаборатории Касперского».

Возможно, авторы вредоносной программы, созданной в 2006 году, стали впоследствии членами группировки Winnti, образовавшейся, как предполагают в «Лаборатории Касперского», в 2009 году. Этим можно было бы объяснить обращение к инструменту почти десятилетней давности. Но не исключено, что Winnti использовала ПО сторонних поставщиков. Возможно, эта утилита и программный код доступны на «черном» киберпреступном рынке.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Новый гендиректор МойОфис высказался о кризисе в компании

Генеральный директор компании «Новые облачные технологии», разработчика офисного комплекса «МойОфис», Вячеслав Закоржевский высказался о причинах кризиса в компании и представил пути выхода из него.

Закоржевский дал интервью «Ведомостям», где отметил, что в 2023 году у компании резко — на без малого 46% — снизилась выручка. Объем убытков превысил 5 млрд рублей. В 2024 году ситуация не изменилась.

Глава компании объяснил эту ситуацию издержками быстрого роста вследствие активного роста спроса на фоне вынужденного импортозамещения:

«У падения выручки причины разные. Получилось так, что к нам одномоментно пришло много клиентов. Бэк-офис и фронт-офис были не готовы, техническая поддержка была не готова. Все навалилось, и компания начала, скажем, работать в экстренном режиме перестройки. Это, конечно, сказалось на процессе. Помимо того, многие клиенты закупили многолетние контракты в 2022 г., когда только началось активное импортозамещение. Тогда и частные, и государственные клиенты оформляли 3-5-летние контракты. И оно вкупе привело к снижению финансовых показателей».

Гендиректор опроверг информацию об уходе крупных клиентов. Однако он признал, что были сложности с продлением контрактов на техническую поддержку. Были примеры и того, когда потенциальные заказчики отказывались от приобретения «МойОфис» из-за затянувшихся пилотов или отрицательных отзывов других компаний.

Однако, как отметил Вячеслав Закоржевский, на 50% срывы новых контрактов были обусловлены несовершенством внутренних процессов в компании:

«Раньше мы могли вернуться за фидбэком через месяц. А надо брать и сразу день в день выезжать и максимально все закрывать. Бывало такое, что компания обещала клиенту реализовать какие-то функции, а потом в течение года несколько раз меняла планы. Это все как раз несовершенство внутренних процессов».

Тем не менее количество пользователей продуктов компании он оценил в 12 500 государственных и корпоративных, а 25 тысяч приобрели платные версии для конечных пользователей. Загрузили бесплатную версию редакторов более 30 млн пользователей.

На начало 2025 года Вячеслав Закоржевский анонсировал три новых продукта в составе «МойОфис». Это редактор схем,  набор BI-инструментов с возможностью установки на серверах клиентов (on-premise), а также инструмент для защиты информации от утечек.

«В 2025 году мы планируем расширять портфолио решений и перейти от продаж отдельных продуктов к комплексным наборам. Так, чтобы все составляющие продавались единым пакетом, и заказчик получал все вместе», — так Вячеслав Закоржевский обозначил приоритеты компании по рыночной стратегии продвижения продуктов. Также новый генеральный директор компании анонсировал продажи продуктов зарубежным заказчикам, в том числе крупным.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru