Перебежчики из Северной Кореи, журналисты, освещающие новости о стране, и организации в Южной Корее стали целями новой вредоносной кампании киберпреступной группировки ScarCruft (также известной как APT37, Reaper Group, InkySquid и Ricochet Chollima).
«Злоумышленники использовали три типа вредоносных программ со схожими функциями: версии, реализованные в PowerShell, исполняемые файлы Windows и приложения для Android. Они предназначены для разных платформ, но используют схожую схему управления и контроля, основанную на связи по HTTP-протоколу. Таким образом, операторы вредоносных программ могут управлять всем семейством вредоносных программ с помощью одного набора скриптов управления и контроля», — пояснили специалисты из «Лаборатории Касперского».
Группировка ScarCruft начала свою деятельность как минимум с 2012 года и известна атаками на государственный и частный секторы в Южной Корее с целью хищения конфиденциальной информации. Кроме того, группировка ранее использовала Windows-бэкдор под названием RokRAT.
В ходе вредоносной кампании киберпреступники отправляли потенциальным жертвам сообщения, используя украденные учетные данные учетных записей Facebook. Затем группировка отправляла фишинговое электронное письмо с защищенным паролем архивом RAR, который содержит документ Microsoft Word. Документ якобы посвящен «последней ситуации в Северной Корее и национальной безопасности».
Открытие документа Microsoft Office запускает выполнение макроса и расшифровку встроенного ПО следующего этапа. Файл Visual Basic Application содержит shell-код, который получает с удаленного сервера полезную нагрузку заключительного этапа с возможностями бэкдора.
В ходе одной из атак преступники в течение двух месяцев делали скриншоты, а затем установили полнофункциональную вредоносную программу под названием Chinotto. Chinotto поставляется со своим вариантом для Android для достижения той же цели — слежки за пользователями. Вредоносный APK-файл, доставляемый получателям с помощью smishing-атаки, предлагает пользователям предоставить ему широкий спектр разрешений на этапе установки, позволяя приложению похищать списки контактов, сообщения, журналы вызовов, информацию об устройстве, аудиозаписи и данные приложений Huawei Drive, Tencent WeChat и KakaoTalk.
DeFi-протокол Kelp DAO сообщил о подозрительной cross-chain активности с rsETH и остановил контракты токена в основной сети Ethereum и нескольких L2.
Исследователи обнаружили кампанию FakeWallet, в рамках которой в App Store размещались фишинговые iOS-приложения, маскирующиеся под популярные криптокошельки.
Исследователи описали ZionSiphon - OT-вредонос, ориентированный на объекты водоочистки и опреснения в Израиле.
21 апреля в РТУ МИРЭА прошло годовое собрание Ассоциации разработчиков программных продуктов «Отечественный софт».
Исследователи из НИЯУ МИФИ разработали инновационную архитектуру нейросети MambaShield, способную сохранять высокую точность работы даже в условиях целенаправленных кибератак на обучающие выборки.
«Лаборатория Касперского» выявила новую хакерскую группу — Geo Likho: по данным портала киберразведки Kaspersky Threat Intelligence Portal, злоумышленники совершают сложные целевые атаки на российские организации из различных сфер ради кибершпионажа.
Исследователи обнаружили новую версию Android-малвари NGate, которая теперь маскируется не под банковский троян, а под модифицированное легитимное NFC-приложение HandyPay.
Французское агентство France Titres, ранее ANTS, подтвердило инцидент безопасности на портале ants.
Российский разработчик технологий кибербезопасности F6 предупредил о распространении опасного инфостилера WeedHack, замаскированного под популярные модификации для Minecraft.
ПАО «ВымпелКом» и ОАО «РЖД» совместно с разработчиком высокотехнологичных средств защиты информации, компанией «ИнфоТеКС», провели успешные пилотные испытания технологии квантового распределения ключей для организации высокозащищенной корпоративной сети.
