Злоумышленники, ответственные за компрометацию цепочки поставок SolarWinds , продолжают расширять свой арсенал вредоносных программ за счет инструментов и методов, которые применялись в атаках еще в 2019 году, сообщает SecurityLab.
Специалисты ИБ-компании CrowdStrike подробно описали новую тактику, принятую хакерской группировкой Nobelium. Преступники вооружились двумя сложными семействами вредоносных программ — вариантом GoldMax для Linux и новым имплантатом, получившим название TrailBlazer.
Группировка Nobelium также отслеживается специалистами в области кибербезопасности под названиями UNC2452 (FireEye), SolarStorm (Unit 42), StellarParticle (CrowdStrike), Dark Halo (Volexity) и Iron Ritual (Secureworks).
GoldMax (также известный как SUNSHUTTLE) был обнаружен Microsoft и FireEye (теперь Mandiant) в марте 2021 года и представляет собой вредоносное ПО на основе Golang. Вредонос выполняет роль бэкдора управления и контроля, устанавливая безопасное соединение с удаленным сервером для выполнения произвольных команд на взломанной системе.
Хакеры использовали вредоносное ПО в атаках как минимум с августа 2020 года (за четыре месяца до атаки на SolarWinds). В сентябре 2021 года «Лаборатория Касперского» описала второй вариант бэкдора GoldMax под названием Tomiris, использованный для атак на несколько правительственных организаций в неназванном государстве СНГ в декабре 2020 года и январе 2021 года.
Последняя итерация представляет собой ранее недокументированную, но функционально идентичную реализацию вредоносного ПО второго уровня для Linux, которое было установлено в средах жертв в середине 2019 года.
Примерно в то же время был использован модельный бэкдор TrailBlazer, который имеет общие черты с GoldMax в том, как он маскирует трафик командного сервера под легитимные HTTP-запросы Google Notifications.
Участники группировки осуществили несколько краж учетных данных домена с интервалом в несколько месяцев, каждый раз используя разные методы. Одним из методов было использование похитителя паролей Mimikatz в памяти с уже скомпрометированной системы для обеспечения доступа в течение длительных периодов времени.
Редакция Кибер Медиа собрала для вас главные события этой недели из мира кибербезопасности.
Руководители OpenAI, Anthropic, Google DeepMind, Microsoft AI и других технологических компаний подписали открытое письмо к Конгрессу США с призывом ввести обязательную проверку заказов на синтетические ДНК и РНК.
Apple заявила, что мессенджер Max был удален из App Store из-за правил соблюдения санкций: в комментарии Русской службе BBC компания уточнила, что соблюдает законы юрисдикций, в которых работает, но не раскрыла, о каких именно санкциях идет речь.
Исследователи Google разработали систему Passive Heart Rate Monitoring, которая позволяет измерять частоту сердечных сокращений и пульс в состоянии покоя с помощью обычной фронтальной камеры смартфона.
Российская индустрия информационной безопасности в ближайшие годы способна дорасти до годового объема в 1 трлн рублей.
На полях Петербургского международного экономического форума заместитель генерального директора «Газпром-Медиа Холдинга» Сергей Косинский, возглавляющий направление цифровых активов, представил аналитический срез ключевых ИБ-вызовов медиаиндустрии.
Заместитель начальника Аналитического центра кибербезопасности ООО «Газинформсервис» Светлана Лагутина выступит с докладом на «Электро-2026».
На Петербургском международном экономическом форуме состоялась профильная сессия Сбера «Цифровой самозванец: новое оружие массового поражения».
В рамках участия в проекте студенты получили практические знания по работе с программными продуктами «Группы Астра», в частности с Astra Linux — российской операционной системой № 1.
Наиболее атакуемыми отраслями остаются телеком, финансовый сектор и государственные организации; мощность отдельных атак выросла на 173%, а атаки свыше 200 Гбит/с участились на 215%.
