В шпионских атаках Lazarus на атомщиков засветился новый бэкдор

В шпионских атаках Lazarus на атомщиков засветился новый бэкдор

В шпионских атаках Lazarus на атомщиков засветился новый бэкдор

В «Лаборатории Касперского» зафиксировали новую серию атак, проводимых группой Lazarus в рамках Operation DreamJob. Письма с вредоносными вложениями, якобы тестами для ИТ-специалистов, рассылаются на адреса предприятий атомной энергетики.

Эксперты полагают, что фальшивки распространяются с использованием одной из популярных платформ для поиска работы. Анализ вложенных архивов выявил многоступенчатую схему заражения с участием VNC-трояна, программы для просмотра удалённых рабочих столов Windows и легитимного инструмента VNC.

Одни вредоносные семплы содержали троянский AmazonVNC.exe, который расшифровывает и запускает загрузчик Ranid Downloader для извлечения ресурсов исполняемого файла VNC.

В других архивах скрывалась vnclang.dll — загрузчик зловреда MISTPEN. Тот, в свою очередь, загружал другие вредоносные программы, в том числе RollMid и новую модификацию LPEClient.

При разборе атак также всплыл неизвестный ранее бэкдор, которому было присвоено имя CookiePlus. Вредонос был замаскирован под легитимный плагин для текстового редактора Notepad++ и умел уходить в спящий режим.

«Способность вредоносного ПО откладывать свои действия позволяет ему избегать обнаружения в момент проникновения в систему и дольше находиться в ней, — поясняет ведущий эксперт Kaspersky GReAT Василий Бердников. — Кроме того, зловред умеет манипулировать системными процессами, что затрудняет его выявление и может привести к дальнейшему повреждению или злонамеренной эксплуатации системы».

Аналогичные шпионские атаки Lazarus аналитики отслеживают под общим названием Operation DreamJob с 2019 года. Вначале злоумышленников интересовали лишь криптовалютные компании, затем список мишеней расширился.

В уходящем году Lazarus, по данным Kaspersky, уделяла особое внимание сфере ИТ и оборонке стран Европы, Латинской Америки, Африки, а также Южной Кореи. Последние зафиксированные атаки были нацелены на атомную промышленность Бразилии.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

К2Тех и К2 Кибербезопасность запустили услугу по защите от шифровальщиков

Компании К2Тех и К2 Кибербезопасность запустили совместную услугу, направленную на защиту организаций от атак с использованием программ-шифровальщиков. Основные задачи — снизить вероятность проникновения вымогателей в ИТ-среду и минимизировать последствия в случае успешной атаки.

По данным компаний, в 2024 году количество инцидентов с участием шифровальщиков увеличилось на 44% по сравнению с предыдущим годом. Такие атаки остаются одной из ключевых причин потери данных в организациях разных масштабов.

Как мы писали в прошлом месяце, Лукойл могли атаковать как раз вредоносные программы этого класса — BlackCat или LockBit.

Для работы над проектом была сформирована объединённая команда из более чем 80 специалистов с профильными сертификатами от ведущих производителей средств защиты информации.

Услуга включает весь цикл — от первичного аудита и анализа защищённости до разработки дорожной карты по улучшению ИТ-инфраструктуры и внедрения защитных решений. Также доступна поддержка со стороны центра мониторинга (SOC), при этом состав сервисов подбирается индивидуально для каждого клиента.

Организации, уже подвергшиеся атаке, могут получить экстренную помощь. Первичная диагностика и консультации по плану реагирования предоставляются оперативно и без оплаты. Затем специалисты могут подключиться к восстановлению ИТ-инфраструктуры и расследованию инцидента.

По словам представителей компаний, спрос на такие услуги растёт: вирусы-шифровальщики всё чаще используются не только с целью выкупа, но и для причинения прямого ущерба конкретным организациям. При этом, несмотря на рост числа кибератак и ужесточение требований регуляторов, многие компании до сих пор не имеют собственного ИБ-подразделения — в 55% случаев вопросы безопасности по-прежнему решаются силами ИТ-отдела.

Новая услуга ориентирована как на пострадавшие организации, так и на компании, стремящиеся заранее повысить уровень своей киберзащиты.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru