С сентября этого года группировка стала использовать новый инструмент собственной разработки. Кроме того, преступники активно экспериментирует со способами доставки вредоносных файлов: не только рассылают фишинговые письма, но и пишут потенциальным жертвам в мессенджеры.
Группировка Core Werewolf атакует российские оборонно-промышленные организации и субъекты критической информационной инфраструктуры как минимум с августа 2021 года. Около месяца назад злоумышленники стали использовать для атак новый загрузчик собственной разработки, написанный на популярном языке программирования Autolt.
Представители Core Werewolf рассылали фишинговые письма со ссылками, по которым находились RAR-архивы. Внутри тех, в свою очередь, находились самораспаковывающиеся архивы (SFX). Каждый из них содержал вредоносный скрипт, необходимый для его исполнения легитимный интерпретатор, а также отвлекающий документ в формате PDF. Если пользователь открывал архив, чтобы посмотреть «документы», содержимое SFX-файла извлекалось в папку для хранения временных файлов (TEMP). Затем с помощью интерпретатора запускался загрузчик, который устанавливал вредоносное ПО на скомпрометированное устройство.
Олег Скулкин, руководитель BI.ZONE Threat Intelligence:
Уровень детектируемости используемых инструментов постоянно растет. В связи с этим преступники вносят изменения в свой арсенал, надеясь, что это позволит им дольше оставаться незамеченными в IT-инфраструктуре жертвы. Чем реже инструмент используется в атаках, тем больше у злоумышленников шансов, что средства защиты не смогут его распознать.
С июня этого года группировка также стала экспериментировать со способами доставки вредоносных файлов. Предполагаемым жертвам писали не только по почте, но и в мессенджерах, чаще всего в Telegram.
Чтобы выстроить эффективную киберзащиту, компании должны быть в курсе особенностей атак на свои отрасли и на конкретные инфраструктуры. Информацию об актуальных угрозах, методах злоумышленников, используемых инструментах и новых каналах доставки ВПО предоставляют порталы киберразведки, например BI.ZONE Threat Intelligence. Эти данные помогают обеспечить эффективную работу средств защиты информации, ускорить реагирование на инциденты и защититься от наиболее критических для компании угроз.
Аналитический центр Black Lotus Labs совместно с Министерством юстиции США провел операцию по нейтрализации прокси-сети SocksEscort, построенной на базе вредоносного ПО AVRecon.
Google выпустила внеплановое обновление стабильной ветки Chrome, закрывающее две критические уязвимости, которые, по данным компании, уже эксплуатируются в реальных кибератаках.
Исследователи Qualys Threat Research Unit обнаружили девять уязвимостей в модуле безопасности AppArmor, которые существовали с 2017 года и затрагивают более 12,6 млн систем по всему миру.
Более 200 представителей российских компаний ежегодно принимают участие в Security Summit — руководители ИБ, ИТ-директора и представители бизнеса.
Аналитики «Контур Фокуса» и «Контур Эгиды» представили исследование российского рынка информационной безопасности, охватывающее период с 1 марта 2024 по 1 марта 2026 года.
В 2026 году основным инструментом борьбы с технологическими подсказками на едином госэкзамене станут системы подавления сотовой связи.
СберФакторинг, дочерняя компания Сбера, внедрила Kaspersky Container Security для повышения уровня защиты контейнерных приложений на всех этапах их жизненного цикла — от разработки до эксплуатации.
«Базальт СПО», мировой производитель системного и инфраструктурного ПО на базе собственной платформы разработки провeдeт четвертую партнерскую конференцию AltConf: Orange Season.
В мартовском накопительном обновлении KB5079473 для Windows 11 компания Microsoft добавила в интерфейс панели задач новую функцию - быструю проверку скорости интернета.
Разработчик альтернативного клиента Telegram - АО «Телега» - привлек 200 млн руб.
