Госсектор Украины атакуют троянизированные инсталляторы Windows 10

Татьяна Никитина 16 Декабря 2022 - 15:20

Таргетированные атаки

...

Госсектор Украины атакуют троянизированные инсталляторы Windows 10

Специалисты Mandiant выявили вредоносную кампанию, нацеленную на кражу данных у правительственных ведомств Украины. Злоумышленники раздают с торрент-сайтов троянизированные файлы ISO, замаскированные под легитимный установщик Windows 10, и собирают с их помощью информацию, чтобы остановить или продолжить атаку.

Киберкампания, которую в Mandiant отслеживают как UNC4166, была запущена минувшим летом. Вредоносный Win10_21H2_Ukrainian_x64.iso был обнаружен на украинском торрент-трекере Toloka и в ветке форума RuTracker; в первом случае ISO-файл загрузили на сайт из-под аккаунта Isomaker, созданного 11 мая.

Анализ показал, что ISO-образ содержит измененные запланированные задания GatherNetworkInfo (отработка VBS-скрипта) и Consolidator (запуск wsqmcons.exe, отправляющего данные на серверы Microsoft). В обоих случаях было добавлено выполнение PowerShell-команды на загрузку с сервера, расположенного в сети Tor (для доступа к C2 используются onion-шлюзы).

Полученные команды тоже выполняются средствами PowerShell, позволяя хакерам провести первичную разведку: получить информацию о зараженной системе, листинг папок (с временными метками), данные геолокации.

В зловредный пакет ISO также включен bat-скрипт, препятствующий детектированию. Он отключает отправку телеметрии в Microsoft, блокирует автообновление Windows и проверку лицензии.

Разведданные взломщики используют для определения ценности атакованной сети. Если жертва представляет интерес, на машину закачивается дополнительная полезная нагрузка:

инструмент проксирования трафика Stowaway с функциями бэкдора (поддержка SSH, SOCKS5; загрузка/вывод данных, удаленный шелл, сбор базовой информации);
маячок Cobalt Strike;
вспомогательный бэкдор Sparepart — облегченный, написанный на C зловред, способный загружать задачи и выполнять их, создавая новый процесс;
инструменты для эксфильтрации данных (TOR Browser, HTTP-сервер Sheret).

Эксперты нашли несколько зараженных устройств в сетях украинских госструктур. Поскольку свидетельств корыстного интереса не выявлено, в Mandiant заключили, что целью атак UNC4166 является кража данных у правительства Украины.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 05 Февраля 2025 - 15:44

Домашние пользователи Системы аутентификации Биометрические системы аутентификации

Хватит и фото: защитить аккаунт Госуслуг с помощью биометрии стало проще

На Госуслугах стало проще защитить свой аккаунт с помощью биометрии. Специальное приложение позволит использовать упрощённую аутентификацию, для которой пользователю нужно лишь сфотографироваться.

Одним из эффективных способов защиты учетной записи на портале Госуслуг стала биометрия. Этот метод позволяет безопасно подтверждать вход в аккаунт наряду с СМС-кодом или TOTP-аутентификацией.

Для использования биометрии необходимо предварительно зарегистрировать её в Единой биометрической системе (ЕБС). Теперь для защиты аккаунта достаточно упрощенной биометрической аутентификации — достаточно скачать приложение «Госуслуги Биометрия» и сфотографироваться.

Ранее биометрию можно было зарегистрировать только в приложении с использованием загранпаспорта или лично в банке.

Биометрические данные хранятся в зашифрованном виде и передаются в виде математических векторов, что обеспечивает высокий уровень защиты. Посторонние лица не смогут получить доступ к учётной записи даже при наличии фотографии или видеоизображения владельца.

После регистрации биометрических данных в ЕБС необходимо перейти во вкладку «Безопасность» в личном кабинете на Госуслугах. В разделе «Подтверждение входа» выбрать биометрию как способ аутентификации.

Использование биометрии является добровольным и регулируется законом. При желании пользователь может удалить свои данные из системы в любое время.