2SDnjd76ePt
По данным Глобального центра исследований и анализа угроз «Лаборатории Касперского», известная с 2018 года кибергруппа BlindEagle совершенствует свои кампании кибершпионажа, направленные на частных лиц и организации преимущественно из Колумбии. Среди обновлений — новый плагин для шпионажа и использование в процессе заражения легитимных бразильских файлообменников.
В числе жертв BlindEagle — организации и частные лица в Колумбии, Эквадоре и других странах Латинской Америки. В сфере интересов группы — правительственные учреждения, энергетические и нефтегазовые организации, финансовые компании. В мае и июне 2024 года 87% жертв находились в Колумбии. Основные цели группы — шпионаж и кража финансовой информации. Для этого используются различные троянцы удалённого доступа с открытым исходным кодом, в том числе njRAT, Lime-RAT, BitRAT.
В кампании, которая проходила в мае 2024 года, в качестве основного инструмента был выбран njRAT. Этот троянец позволяет записывать все нажатия клавиш на клавиатуре, получать изображения с камер, собирать информацию о системе и запущенных приложениях, делать снимки экрана и совершать другие шпионские действия. В последних версиях зловред может расширять свою функциональность с помощью плагинов в виде сборок .net или других бинарных файлов. Плагины позволяют запускать дополнительные шпионские модули для сбора конфиденциальной информации. Например, в прошлых кампаниях группа использовала такие модули, чтобы определять местоположение жертвы, получать подробную информацию о системе, в частности об установленных приложениях, отключать защитное ПО и устанавливать вредоносное ПО Meterpreter.
Внедрение вредоносного ПО начинается с целевой рассылки. Злоумышленники рассылают электронные письма якобы от представителей государственной организации, в которых уведомляют жертв о штрафе за нарушение правил дорожного движения. Письмо содержит вредоносное вложение, которое выглядит как PDF-файл, но на самом деле включает в себя вредоносный сценарий Visual Basic Script (VBS), который в несколько этапов загружает шпионское ПО на целевое устройство.
BlindEagle всё чаще использует португальский язык и бразильские домены для многоступенчатой загрузки вредоносных программ, что говорит о возможном сотрудничестве с другими акторами. Группа использовала бразильский сайт хостинга изображений для распространения вредоносного кода. Ранее они использовали такие сервисы, как Discord или Google Drive.
В июне 2024 года BlindEagle запустила отдельную кампанию, в которой использовался ранее нехарактерный для неё метод DLL sideloading — способ выполнения вредоносного кода через библиотеки Windows. Для первичного заражения группа рассылала вредоносные файлы под видом фиктивных судебных документов в формате PDF и DOCX. Они находились в составе ZIP-архива, в который злоумышленники добавляли также исполняемый файл, инициировавший заражение через DLL sideloading, и другие вредоносные файлы — для продолжения атаки. В этой кампании был использован троянец удалённого доступа AsyncRAT.
UserGate, российский разработчик решений в области кибербезопасности и архитектор сетевого доверия, озвучил результаты аналитического исследования характера актуальных угроз и киберинцидентов у российских заказчиков в 2025 году.
Атака началась с отправки на корпоративную почту сотрудника организации фишингового письма с заголовком «Исх.
В рамках конференции «Цифровая индустрия промышленной России» (ЦИПР) – главного делового события по цифровой экономике и технологиям в России – «Группа Астра» и NGR Softlab заключили соглашение о стратегическом партнерстве.
Компании представили на конференции ЦИПР-2026 результаты совместного исследования по расчёту возврата инвестиций в ИБ для крупных российских предприятий.
«ГИГАНТ Комплексные системы» получил сертификат совместимости средства доверенной загрузки ViPNet SafeBoot 3 версии 3.
Критическая уязвимость в HTTP-сервере NGINX активно эксплуатируется злоумышленниками, об этом сообщают СМИ со ссылкой на данные исследователей.
Школы Мурманской области активно приступили к замене иностранного программного обеспечения российским.
Microsoft предупредила о критической уязвимости CVE-2026-42897 в локальных версиях Exchange Server 2016, 2019 и Subscription Edition.
Microsoft начала отменять внутренние лицензии на Claude Code - ИИ-инструмент Anthropic для работы с кодом, который с декабря активно использовали сотрудники компании.
В работе каршеринга «Делимобиль» 18 мая произошел массовый сбой: пользователи жаловались на неработающее приложение, невозможность завершить аренду и проблемы с доступом к автомобилям.
