Кибергруппа RedCurl использует утилиту совместимости софта в Windows

Кибергруппа RedCurl использует утилиту совместимости софта в Windows

Кибергруппа RedCurl использует утилиту совместимости софта в Windows

Группировка RedCurl, участников которой принято приписывать к русскоязычным киберпреступникам, использует легитимный компонент Windows «Помощник по совместимости программ» (PCA) для выполнения вредоносных команд.

О новых атаках рассказали исследователи из Trend Micro. В отчёте специалисты отмечают следующее:

«Помощник по совместимости программ (pcalua.exe) является легитимной службой Windows, предназначенной для выявления и решения проблем в работе старых программ».

«Злоумышленники могут использовать эту утилиту для выполнения команд и обхода защиты. В проанализированных новых атаках операторы задействуют этот инструмент для сокрытия своих действий».

RedCurl ранее отмечалась хорошо организованными атаками на российские финансовые организации. Об этих операциях рассказывали летом специалисты F.A.C.C.T. А в 2021 году группировка нацеливалась на российский ретейл.

Новая кампания RedCurl стартовала с фишинговых писем, к которым были прикреплены вложения в форматах .ISO и .IMG. Последние запускали многоступенчатый процесс, использующий cmd.exe для загрузки легитимной утилиты curl.

Софт curl в данном случае выступал в роли канала для передачи библиотеки лоадера (ms.dll или ps.dll). Вредоносная DLL уже берёт в оборот PCA, чтобы установить соединение с доменом и инициировать загрузку пейлоада.

Помимо этого, в атаках фигурирует приложение с открытым исходным кодом — Impacket, также помогающее несанкционированно выполнить команды в операционной системе.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В системах ГИБДД произошел масштабный сбой

Автовладельцы не могут поставить машины на учёт из-за сбоя в системах, а инспекторы лишились доступа к базам данных электронных ПТС и государственных номеров.

Как сообщает телеграм-канал Baza, перебои в работе систем ГИБДД начались ещё на прошлой неделе, однако тогда они были кратковременными. Сегодня же сервисы полностью вышли из строя.

«Никто не может зайти в личный кабинет и зарегистрировать автомобиль. Отделения, где принимают на учёт, переполнены людьми с талонами на руках, но, по словам источника, получить заветный квиток удаётся не всем», — отмечает канал.

По данным источника, во многих подразделениях образовались длинные очереди, которые практически не двигаются. Сотрудники советуют гражданам приходить в другие дни.

Без привычных инструментов остались и инспекторы: невозможно проверить электронный паспорт транспортного средства, а также установить подлинность и принадлежность регистрационных номеров. Причины сбоя и сроки его устранения пока неизвестны.

Крупный сбой в работе систем ГИБДД уже происходил в апреле 2024 года. Тогда о нём также сообщал телеграм-канал Baza. Проблемы затронули несколько регионов России и, по данным ТАСС, были связаны с переходом на отечественное программное обеспечение.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru