Действующие в России шпионы Sticky Werewolf перешли на стеганографию

Действующие в России шпионы Sticky Werewolf перешли на стеганографию

Действующие в России шпионы Sticky Werewolf перешли на стеганографию

Эксперты Positive Technologies обнаружили, что шпионящая в России APT-группа Sticky Werewolf (в PT ее именуют PhaseShifters) начала применять стеганографию для сокрытия загрузки троянов. Нововведение уже засветилось в десятках успешных атак.

Поддельные письма с новым сценарием доставки полезной нагрузки рассылаются в российские госструктуры, НИИ, промышленные компании. Получателя могут попросить ознакомиться с резюме или документом на подпись.

Вложенный архив под паролем содержит файл, при открытии которого отрабатывает скрипт-загрузчик. В результате на машину жертвы из интернета скачивается вредоносный код, спрятанный в картинке или текстовом файле по методу стеганографии.

Целевым зловредом может оказаться инфостилер Rhadamanthys, DarkTrack RAT, Meta Stealer или иной зловред, пригодный для шпионажа. Примечательно, что для их сокрытия Sticky Werewolf использует практически ту же технику, что и TA558, а также UAC-0050, действующая в России, Белоруссии, Молдавии, странах Прибалтики, на Украине и в Польше.

«Мы наблюдаем высокую активность PhaseShifters с весны 2023 года и уже тогда заметили интересные детали, — рассказывает Денис Кувшинов, руководитель TI-департамента PT ESC. — Атаки группировки по техникам идентичны цепочкам атак другой группировки, UAC-0050. Более того, атаки этих группировок проходят с небольшим временным промежутком, то есть злоумышленники одинаково атакуют с разницей в несколько недель. На данный момент мы склоняемся к тому, что UAC-0050 и PhaseShifters — это одна и та же группировка».

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Российские пользователи Java рискуют безопасностью

Согласно отчету Axiom JDK «Тренды Java в России 2024», отечественные разработчики активно внедряют новые релизы Java и возможности ИИ. Но 89% рискует безопасностью, используя зарубежные платформы или решения с открытым кодом.

Как показало исследование, переход на новые релизы Java в России идет динамичнее, чем за рубежом, где многие базируются на ранних версиях Java с долгосрочной поддержкой (LTS, long term support).

Напротив, в России запускается много новых проектов. Так, версию Java 17, вышедшую в сентябре 2021 г., используют почти 70% респондентов, а Java 21, вышедшую в сентябре 2023 г., – 36%. При этом более трети респондентов используют две LTS-версии, а около четверти – три.

 

Без малого половина разработчиков (48%) использует генеративный искусственный интеллект для написания кода. Наиболее популярным инструментом является ChatGPT, который применяет 35%. Почти четверть (23%) экспериментируют с двумя и более нейросетями, 70% ограничивается одним инструментом. При этом авторы исследования обнаружили четкую корреляцию между использованием искусственного интеллекта и новых версий Java.

Подавляющее большинство респондентов в промышленной эксплуатации по-прежнему используют зарубежные дистрибутивы Java, так что потенциал для импортозамещения по-прежнему остается большим. Однако авторы исследования напоминают, что использование в критических системах Java-компонентов без обновления и поддержки увеличивает риски на фоне роста технологических угроз и многообразия систем в ИТ-инфраструктуре.

62% респондентов используют устаревшие версии Java — Java 8 (2014) или Java 11 (2018), которые Oracle распространяла бесплатно. Основной причиной отказа от миграции на новые релизы является высокая трудоемкость процесса, требующего замены всех библиотек-зависимостей.

В топ-5 дистрибутивов вошли Oracle JDK (37%), Liberica JDK (33%), Eclipse Temurin (25%), Amazon Corretto (14%) и Red Hat OpenJDK (14%). Отечественная платформа Axiom JDK с долей 11% заняла шестое место.

 

«Россия — это страна, где Java уже не просто язык программирования, а, по сути, культурный код ИТ-отрасли. Исследование показало огромный аппетит отечественных разработчиков к инновациям и стремление осваивать их ускоренными темпами. В этом и парадокс: стабильность отечественного бизнеса требует смелых решений, включая отказ от зарубежных Java-дистрибутивов без поддержки, которые повышают риски безопасности. Чтобы обеспечить устойчивость бизнеса и технологическую независимость страны, сегодня нужна не просто Java, а целая экосистема — от среды разработки до серверов приложений и библиотек. Здесь мы видим основное направление развития Java-разработки в следующем году», — отметил Сергей Лунегов, директор по продуктам Axiom JDK.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru