APT-группа Core Werewolf шпионит за российскими КИИ с помощью UltraVNC

APT-группа Core Werewolf шпионит за российскими КИИ с помощью UltraVNC

APT-группа Core Werewolf шпионит за российскими КИИ с помощью UltraVNC

ИБ-компания BI.ZONE зафиксировала атаки Core Werewolf на российский оборонно-промышленный комплекс и объекты критической инфраструктуры (КИИ). Для проникновения в организации используются целевые рассылки и UltraVNC.

Данная APT-группа, по словам исследователей, активна как минимум с августа 2021 года. Чтобы дольше оставаться незамеченными, авторы шпионских атак используют легитимный софт.

Анализ показал, что поддельные сообщения, рассылаемые Core Werewolf в российские организации, содержат ссылку на исполняемый файл, замаскированный под документ PDF или DOCX.

При его открытии отображается некое постановление, приказ, методическое пособие, служебная записка либо резюме. Одновременно на устройстве жертвы в фоновом режиме запускается UltraVNC, обеспечивающий авторам атаки удаленный доступ к системе.

«Сегодня группы все чаще отказываются от вредоносного ПО в пользу легитимных или встроенных в операционную систему инструментов, — комментирует Олег Скулкин, руководитель управления киберразведки BI.ZONE. — Пример Core Werewolf в очередной раз доказывает эффективность таких методов в управляемых человеком атаках».

Снизить риски подобных атак, по словам экспертов, помогают меры, реализующие проактивный подход к обнаружению киберугроз (threat hunting). Потенциальным жертвам рекомендуется использовать специализированные решения для защиты имейл и наладить мониторинг событий кибербезопасности, чтобы отслеживать подозрительное поведения легальных программ.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Microsoft прекращает поддержку Remote Desktop с 27 мая

Microsoft объявила о прекращении поддержки приложения Remote Desktop с 27 мая 2025 года. Оно будет удалено из Microsoft Store, а в качестве альтернативы пользователям предлагается переход на Windows App.

Вчера вечером Microsoft официально сообщила о завершении поддержки Remote Desktop. После этой даты приложение больше нельзя будет загрузить или установить через Microsoft Store.

Пользователям, которым требуется удаленный доступ к Windows 365, Azure Virtual Desktop и Microsoft Dev Box, рекомендуется заранее перейти на Windows App. С 27 мая 2025 года Remote Desktop больше не будет доступен для использования с этими сервисами.

Среди ключевых преимуществ Windows App Microsoft выделяет:

  • Единый интерфейс для работы с несколькими службами Windows, включая облачные рабочие пространства;
  • Поддержку многомониторных конфигураций;
  • Доступ к Windows 365, Azure Virtual Desktop и Microsoft Dev Box;
  • Интеграцию с другими сервисами Microsoft, включая Teams.

Однако у Windows App есть и некоторые ограничения. Например, приложение не поддерживает работу в средах с прокси-идентификацией.

При этом для удаленного подключения к другим системам пользователи могут продолжать использовать встроенное в Windows приложение Remote Desktop Connection.

Remote Desktop – не единственное приложение, от которого отказалась Microsoft. На прошлой неделе компания объявила о закрытии Publisher, а в конце февраля сообщила о прекращении работы Skype.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru