Карабахский конфликт спровоцировал атаки кибершпионов на Азербайджан

Екатерина Быстрова 08 Октября 2020 - 10:06

Умышленные утечки информации

Кража данных

...

Карабахский конфликт спровоцировал атаки кибершпионов на Азербайджан

На фоне вновь разгоревшегося Карабахского конфликта киберпреступники запустили на территории Азербайджана кампании целевого фишинга, в которых фигурирует шпионская программа PoetRAT.

По данным исследователей, в атаках участвует новый образец PoetRAT, в котором авторы усовершенствовали обфускацию и поработали над качеством кода.

Шпион атакует государственный сектор и ключевые организации Азербайджана в момент, когда страна увлечена столкновением с Арменией по территориальным вопросам.

Специалисты Cisco Talos, описавшие кибероперации в блоге, указывают на более зрелый подход шпионов к целевому фишингу. Основная задача злоумышленников — заставить жертву загрузить на компьютер вредоносные документы.

Одной из составных частей PoetRAT стал исполняемый файл dog.exe, способный отслеживать пути на жёстком диске. Он пытается извлечь конфиденциальную информацию, передаваемую посредством электронной почты или протокола FTP.

Другой инструмент — Bewmac — позволяет записывать видео, используя камеру жертвы. Также PoetRAT располагает возможностями кейлогера, сканирования сети, тестирования на проникновение (пентест).

Содержащие вредоносные документы Word письма злоумышленники маскируют под уведомления от властей Азербайджана. Установка PoetRAT происходит благодаря двум отдельным файлам, запуску вредоносной составляющей помогают макросы.

Кроме того, преступники перешли с языка программирования Python на Lua, что ощутимо уменьшило размер вредоноса. Эксперты в области кибербезопасности считают, что толчком для новых атак послужил Карабахский конфликт, который за последние недели снова набрал обороты.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Татьяна Никитина 25 Ноября 2024 - 15:19

Уязвимости программ Домашние пользователи

Давно не обновляли 7-Zip? В нем может присутствовать RCE-уязвимость

Участник проекта Trend Micro Zero Day Initiative (ZDI) выявил в 7-Zip уязвимость, позволяющую выполнить вредоносный код в Windows. Патч вышел в составе сборки 24.07; обновление архиватора возможно лишь вручную.

Согласно бюллетеню ZDI, причиной появления проблемы CVE-2024-11477 является некорректная реализация механизма разуплотнения данных Zstandard, а точнее, неадекватная проверка пользовательского ввода.

Из-за этого возник риск возникновения целочисленного переполнения через нижнюю границу представления. Данную ошибку, по словам автора находки, можно использовать для выполнения произвольного кода в контексте текущего процесса.

Эксплойт возможен с помощью специально созданного архива; автору атаки также придется убедить пользователя открыть вредоносный файл. В случае успеха последствия могут быть различными, от кражи данных до полной компрометации целевой системы.

Получив отчет ZDI, разработчики создали патч и включили его в выпуск 24.07. Пользователям 7-Zip настоятельно рекомендуется обновить продукт до последней версии (текущая — 24.08).

Формат 7z не менее популярен, чем ZIP и RAR; в прошлом году его поддержка была добавлена в Windows 11. Сам архиватор с открытым кодом поддерживает MotW — защиту Windows от drive-by-загрузок, однако оказалось, что он плохо распознает угрозы, спрятанные путем конкатенации архивных файлов.