2SDnjcoK9BL
Иранская хакерская группировка под названием Moses Staff использовала многокомпонентный набор инструментов для осуществления шпионажа за израильскими организациями, сообщает SecurityLab.
Как сообщили ИБ-специалисты из компании FortiGuard Labs, в ходе своей вредоносной кампании группировка эксплуатировала уязвимости ProxyShell в серверах Microsoft Exchange в качестве начального вектора заражения для установки двух web-оболочек с последующим хищением файлов данных Microsoft Outlook (.PST).
Последующие этапы атаки включают попытку кражи учетных данных путем сброса содержимого памяти критического процесса Windows Local Security Authority Subsystem Service (Lsass.exe), затем происходит установка бэкдора StrifeWater (broker.exe).
Установка имплантата для выполнения удаленных команд от командного сервера, загрузки файлов и хищения данных облегчается загрузчиком, который маскируется под «службу быстрой остановки жестких дисков», получившую название DriveGuard (drvguard.exe).
Кроме того, загрузчик также отвечает за запуск защитного механизма (lic.dll), который гарантирует непрерывность работы службы путем перезапуска DriveGuard каждый раз, когда процесс останавливается.
Бэкдор может удалять себя с диска с помощью команды CMD, делать снимки экрана и обновлять вредоносное ПО, чтобы заменить текущий модуль в системе файлом, полученным с сервера.
StrifeWater также известен своими возможностями обходить защитные шлюзы, выдавая себя за приложение Windows Calculator (calc.exe).
Вредоносная кампания была связана с группировкой Moses Staff на основе сходства web-оболочек, используемых в ранее зафиксированных атаках.
В рамках SOC Forum 2025 портал Cyber Media взял интервью у Андрея Жданухина, руководителя группы аналитики L1 GSOC компании «Газинформсервис» — как будет развиваться SOC в ближайшие годы на фоне бума технологий ИИ?
ASUS сообщила о киберинциденте, который затронул одного из её внешних поставщиков.
Депутаты приняли поправки, обязывающие операторов платёжной инфраструктуры передавать Росфинмониторингу данные обо всех переводах, проходящих через Систему быстрых платежей и НСПК.
Железнодорожные компании в Великобритании временно приостановили движение поездов после того, как в сети появилось изображение якобы обрушенного моста.
Журналист Simon Fondrie-Teitler разобрался в том, как работает Dekota - новый гаджет от Kohler за 600 долларов плюс подписка.
Исследователи Trend Micro обнаружили GhostPenguin - редкий многопоточный бекдор под Linux, который долгое время проходил мимо любых средств детектирования.
Еврокомиссия вынесла первое в истории решение по DSA и назначила X* штраф в размере 120 миллионов евро.
В Российском университете дружбы народов им.
Компания «ИнфоТеКС» объявляет о получении сертификата ФСБ России на программный комплекс ViPNet Client 5 for Linux.
Компания «Увеон – облачные технологии» объявляет о выходе Termidesk Connect 1.
