Действующие в России шпионы Sticky Werewolf перешли на стеганографию

Действующие в России шпионы Sticky Werewolf перешли на стеганографию

Действующие в России шпионы Sticky Werewolf перешли на стеганографию

Эксперты Positive Technologies обнаружили, что шпионящая в России APT-группа Sticky Werewolf (в PT ее именуют PhaseShifters) начала применять стеганографию для сокрытия загрузки троянов. Нововведение уже засветилось в десятках успешных атак.

Поддельные письма с новым сценарием доставки полезной нагрузки рассылаются в российские госструктуры, НИИ, промышленные компании. Получателя могут попросить ознакомиться с резюме или документом на подпись.

Вложенный архив под паролем содержит файл, при открытии которого отрабатывает скрипт-загрузчик. В результате на машину жертвы из интернета скачивается вредоносный код, спрятанный в картинке или текстовом файле по методу стеганографии.

Целевым зловредом может оказаться инфостилер Rhadamanthys, DarkTrack RAT, Meta Stealer или иной зловред, пригодный для шпионажа. Примечательно, что для их сокрытия Sticky Werewolf использует практически ту же технику, что и TA558, а также UAC-0050, действующая в России, Белоруссии, Молдавии, странах Прибалтики, на Украине и в Польше.

«Мы наблюдаем высокую активность PhaseShifters с весны 2023 года и уже тогда заметили интересные детали, — рассказывает Денис Кувшинов, руководитель TI-департамента PT ESC. — Атаки группировки по техникам идентичны цепочкам атак другой группировки, UAC-0050. Более того, атаки этих группировок проходят с небольшим временным промежутком, то есть злоумышленники одинаково атакуют с разницей в несколько недель. На данный момент мы склоняемся к тому, что UAC-0050 и PhaseShifters — это одна и та же группировка».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В России массовый сбой в работе платежных сервисов

В работе Системы быстрых платежей (СБП) произошёл серьёзный сбой. Проблемы с переводами и оплатами возникли также у пользователей других банков и платёжных сервисов.

О неполадках начали сообщать региональные СМИ.

«На данный момент невозможно осуществить ни один перевод по СБП, с чем столкнулся и наш журналист. При этом официальных комментариев и сроков устранения неисправности пока не поступало», — пишет онлайн-издание «Тверские ведомости».

Сервис Downdetector также зафиксировал множество жалоб на проблемы в работе СБП. Больше всего сообщений поступило из Санкт-Петербурга и Ленинградской области, однако значительная их часть также пришлась на Тверскую область. Основные претензии касаются нестабильной работы сервиса, недоступности сайта и невозможности входа в мобильное приложение.

«Проблемы наблюдаются в Сбере, Т-банке, Яндексе. В первом случае сразу предупреждают о сбое и просят попробовать перевести деньги через 10 минут. В остальных — перевести средства просто не удаётся», — сообщает сайт «МК в Петербурге».

По данным РБК, сбой в работе СБП затронул также пользователей «Яндекс Пэй», ВТБ, Альфа-Банка и Озон Банка. Кроме проблем с переводами, пользователи этих сервисов столкнулись с невозможностью проведения платежей и пополнения карт.

В Национальной системе платёжных карт (НСПК), которая выступает оператором СБП, подтвердили наличие технических трудностей, но не раскрыли подробности: «НСПК фиксирует затруднения при обработке операций через СБП. Специалисты работают над их устранением. Остальные сервисы и системы НСПК функционируют в штатном режиме».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru