Специалисты Symantec обнаружили хитрую кибершпионскую группу, которой удавалось долгое время оставаться в тени. Целью этой группы были организации, находящиеся в России, Китае и ряде стран Европы.
Группа, известная под названием действует приблизительно с 2011 года. Symantec проанализировала один из инструментов этой группы - , после того, как клиент представил образец, обнаруженный его антивирусным средством из-за подозрительного поведения.
По мнению исследователей, Remsec является вредоносной программой, в первую очередь предназначенной для шпионажа. Remsec может отслеживать и логировать нажатия клавиш, красть файлы с компьютера , в общем, выступать в качестве бэкдора (backdoor).
«Remsec содержит ряд функций, помогающих ему избежать обнаружения. Некоторые из его компонентов в виде двоичных больших объектов сложнее обнаружить с помощью традиционных антивирусных средств» - объясняют исследователи Symantec – «В дополнение к этому, большая часть функционала вредоноса развернут в сети, то есть он находится только в памяти компьютера и никогда не хранится на диске. Это также затрудняет обнаружение и указывает на то, что группа Strider очень подготовлена и компетентна технически».
Symantec обнаружила в общей сложности 36 заражений в 7 организациях в четырех странах. В России, Китае, Бельгии и Швеции.
Вредный функционал обеспечивается связкой модулей, каждый из которых отвечает за конкретную задачу. Например, Remsec выдает себя за программный интерфейс между приложениями и провайдерами безопасности. Вредоносная программа также включает в себя три различных модуля бэкдора (базовый, продвинутый и HTTP).
Интересно отметить, что модули загрузчика и кейлоггера написаны на языке программирования Lua. Исследователи отметили, что это похоже на Flame, весьма сложное кибер-оружие, приравниваемое к Stuxnet и Duqu. Анализ модуля кейлоггера также показал, что его код содержит отсылки к Саурону (Sauron), главному антагонисту Властелина колец.
Symantec также отметили, что одна из жертв Strider была ранее заражена еще одним сожным трояном Regin, который использовался в кибер-шпионских операциях, по крайней мере, с 2008 года. Стоит отметить, что оба трояна Regin и Flame ассоциировались с определенными государствами, в том числе, с Британией, Америкой и Израилем.
Symantec считает, что Strider может также спонсироваться каким-либо государством, этот вывод основан на возможностях, сложности вредоноса и характере его целей.
Чтобы помочь организациям обнаружить присутствие угрозы на их системах, компания опубликовала небольшой .
C 12 ноября ряд пользователей Windows 10 столкнулись с проблемой обновления и деинсталляции пакетных приложений вроде Microsoft Teams. Microsoft подтвердила наличие бага и отозвала обновление WinAppSDK.
Судя по всему, проблема вызвана пакетом WinAppSDK версии 1.6.2, которая автоматом установилась в системы пользователей после инсталляции приложения, разработанного с использованием Win App SDK.
На затронутых устройствах, работающих под управлением Windows 10 22H2, выводилась ошибка «Something happened on our end» в разделе «Загрузки» Microsoft Store.
«Если вы системный администратор и пытаетесь управлять приложениями через PowerShell с помощью команды “Get-AppxPackage“, система может выдать вам ошибку “Deployment failed with HRESULT: 0x80073CFA“», — объясняет Microsoft.
«Вы также можете столкнуться с проблемами обновления или переустановки Microsoft Teams и других сторонних приложений».
Корпорация пока отозвала проблемную версию WinAppSDK 1.6.2. Один из разработчиков Майк Кридер уточнил, что фикс стоит ждать с выходом WinAppSDK 1.6.3.
Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
