Специалисты департамента исследования угроз экспертного центра безопасности Positive Technologies (PT Expert Security Center) обнаружили новую APT-группировку, которая атакует организации российского государственного сектора. В зафиксированной серии инцидентов для проникновения в ИТ-инфраструктуру злоумышленники использовали фишинговые электронные письма на темы финансов и права — в связи с этим эксперты назвали группировку TaxOff. Киберпреступники применяли в атаках высокотехнологичный бэкдор, который способен оставаться незаметным даже при одновременном выполнении множества задач.
Группировка преследовала две основные цели — шпионаж и закрепление в инфраструктуре для развития дальнейших атак. Эксперты обнаружили несколько фишинговых писем, которые использовались как начальные векторы проникновения. В одном из них была ссылка на облачное хранилище с вредоносным содержимым, в другом — поддельный установщик специального ПО для госслужащих, предназначенного для заполнения различных справок.
Взаимодействие с письмами вело к заражению сложным бэкдором — эксперты назвали его Trinper. Вредонос написан на языке C++ и имеет многопоточную архитектуру, что позволяло ему параллельно выполнять разные действия: собирать и выгружать данные, мониторить файловую систему на появление чувствительных данных, поддерживать связь с командно-контрольным сервером. В бэкдоре реализована уникальная конфигурация, которая обеспечивают гибкую настройку Trinper. Кроме того, бэкдор кэширует часто используемые данные и за счет этого быстрее выполняет операции, повышая свою производительность.
«Благодаря многопоточности и другим архитектурным особенностям Trinper дает злоумышленникам возможность получать устойчивый доступ к скомпрометированным системам и одновременно выполнять многочисленные вредоносные действия. При этом бэкдор не оказывает значительного влияния на производительность инфраструктуры, поэтому может долгое время оставаться незамеченным, — комментирует Владислав Лунин, старший специалист группы исследования сложных угроз, экспертного центра безопасности Positive Technologies. — Сочетание высокотехнологичного вредоноса с приманками на волнующие темы делает атаки TaxOff особенно опасными и трудными для обнаружения. Это подчеркивает необходимость регулярного повышения осведомленности сотрудников организаций об актуальных киберугрозах и построения многоуровневой защиты от сложных инцидентов».
Чтобы не стать жертвами подобных атак, эксперты советуют пользователям соблюдать стандартные правила кибергигиены: внимательно читать электронные письма от любых отправителей, не открывать подозрительные вложения и не переходить по сомнительным ссылкам, даже если темы сообщений крайне актуальны.
Компаниям специалисты рекомендуют тщательно проверять сетевой трафик, чтобы своевременно обнаруживать скрытые киберугрозы, — с этой задачей помогут продуты классов NTA и NGFW, такие как PT Network Attack Discovery и PT NGFW. Еще одна обязательная мера для построения проактивной защиты — внедрение песочницы. Например, PT Sandbox проводит анализ поведения файлов в виртуальной среде и обнаруживает даже сложные вредоносы, такие как Trinper. Защитить конечные устройства от backdoor Trinper помогут СЗИ класса EDR, например MaxPatrol EDR. Продукт позволяет обнаружить вредоносную активность, отправить уведомление в MaxPatrol SIEM и не дать злоумышленнику продолжить атаку. Эксперты также подчеркивают важность непрерывного мониторинга событий ИБ, который можно реализовать с помощью системы MaxPatrol SIEM, и актуальность управления уязвимостями, что можно организовать с помощью MaxPatrol VM. Чтобы оценить защищенность своей почты можно воспользоваться сервисом PT Knockin.
Аналитический центр Black Lotus Labs совместно с Министерством юстиции США провел операцию по нейтрализации прокси-сети SocksEscort, построенной на базе вредоносного ПО AVRecon.
Google выпустила внеплановое обновление стабильной ветки Chrome, закрывающее две критические уязвимости, которые, по данным компании, уже эксплуатируются в реальных кибератаках.
Исследователи Qualys Threat Research Unit обнаружили девять уязвимостей в модуле безопасности AppArmor, которые существовали с 2017 года и затрагивают более 12,6 млн систем по всему миру.
Более 200 представителей российских компаний ежегодно принимают участие в Security Summit — руководители ИБ, ИТ-директора и представители бизнеса.
Аналитики «Контур Фокуса» и «Контур Эгиды» представили исследование российского рынка информационной безопасности, охватывающее период с 1 марта 2024 по 1 марта 2026 года.
В 2026 году основным инструментом борьбы с технологическими подсказками на едином госэкзамене станут системы подавления сотовой связи.
СберФакторинг, дочерняя компания Сбера, внедрила Kaspersky Container Security для повышения уровня защиты контейнерных приложений на всех этапах их жизненного цикла — от разработки до эксплуатации.
«Базальт СПО», мировой производитель системного и инфраструктурного ПО на базе собственной платформы разработки провeдeт четвертую партнерскую конференцию AltConf: Orange Season.
В мартовском накопительном обновлении KB5079473 для Windows 11 компания Microsoft добавила в интерфейс панели задач новую функцию - быструю проверку скорости интернета.
Разработчик альтернативного клиента Telegram - АО «Телега» - привлек 200 млн руб.
