Неизвестные взломали латвийскую соцсеть, опубликовав фотографию Путина

Неизвестные взломали латвийскую соцсеть, опубликовав фотографию Путина

Неизвестные взломали латвийскую соцсеть, опубликовав фотографию Путина

Неизвестные киберпреступники проникли в латвийскую социальную сеть draugiem.lv, разместив на ее страницах фотографию президента Российской Федерации Владимира Путина. Помимо этого, при посещении соцсети у пользователей воспроизводился гимн России. Сообщается, что атака прошла в день выборов в Сейм.

В результате дефейса злоумышленники рядом с фотографией главы России опубликовали следующее сообщение:

«Товарищи латышы, это касается вас. Граница России нигде не заканчивается!».

«Русский мир может и должен объединить всех, кому дорого русское слово и русская культура, где бы они ни жили, в России или за ее пределами. Почаще употребляйте это словосочетание — "Русский мир"».

На данный момент непонятно, что именно хотели сказать вторгшиеся в соцсеть киберпреступники. Естественно, в Латвии считают, что именно Кремль подослал злоумышленников для дефейса платформы.

Однако, если подумать, это крайне маловероятно — так «грязно» работать не пристало, размещая фотографию Путина на главной странице. Еще лучше было бы, если бы они бы прямо там написали, что «пришли от Путина».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

NonEuclid RAT: троян удаленного доступа и шифровальщик в одном флаконе

В Cyfirma проанализировали образец NonEuclid, рекламируемого в даркнете как RAT, и выяснили, что Windows-троян не только открывает удаленный доступ к зараженным устройствам, но также умеет шифровать файлы.

Рекламу NonEuclid эксперты обнаружили на подпольном форуме в конце ноября. Поиск схожих объявлений показал, что данного зловреда продвигают в таких сообществах, в том числе русскоязычных, как минимум с октября 2021 года, а также активно обсуждают в Discord и на YouTube.

Написанный на C# вредонос вооружен рядом средств защиты от анализа и обнаружения. При запуске он проводит проверки на наличие враждебной среды (ВМ, песочницы) и при наличии таковой немедленно прекращает свое исполнение.

С той же целью троян добавляет свои файлы в исключения Microsoft Defender, а также мониторит запуск процессов (через вызовы Windows API) и прибивает те, которые могут ему помешать — taskmgr.exe, processhacker.exe, procexp.exe и т. п.

Кроме того, NonEuclid умеет обходить Windows-защиту AMSI: отслеживает загрузку модуля amsi.dll и при обнаружении патчит области памяти, связанные с AmsiScanBuffer.

Чтобы обеспечить себе постоянное присутствие, зловред создает запланированные задания и вносит изменения в системный реестр. Он также пытается повысить привилегии посредством выполнения команд и обхода UAC-защиты.

Подключение к C2-серверу осуществляется через TCP-сокет с использованием заданных IP-адреса и порта.

Возможности NonEuclid как шифровальщика ограничены списком расширений, который невелик и включает, в частности, .csv, .txt и .php. Данные шифруются по AES, к именам обработанных файлов добавляется расширение .NonEuclid.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru