В новой атаке хакеров SilverFox были обнаружены компоненты вредоносного программного обеспечения под названием Winos 4.0, а также техники, которые ранее были замечены за другой группировкой – APT41 (Winnti). Об этом "Газете.Ru" сообщили в пресс-службе компании "Гарда", специалисты которой и обнаружили упомянутую атаку.
Как SilverFox, так и Winnti некоторыми исследователями угроз информационной безопасности связываются с китайским правительством.Winos 4.0 представляет собой комплексный инструмент, предназначенный для шпионажа, удаленного управления и проведения атак на пользователей. Вредонос распространяется через целевые фишинговые письма с использованием социальной инженерии, включая QR-коды. Первичный этап атаки — самораспаковывающийся архив WinRAR SFX, который дропает следующий модуль. Закрепление в системе происходит через планировщик задач (AtLogOn).
Основной модуль загружается с командного сервера (CC) после первичного обращения. Примечательно, что для связи с CC, помимо модифицированного протокола, впервые в Winos 4.0 зафиксировано использование еще одного протокола, который ранее считался визитной карточкой APT41.
В атаке SilverFox применялись различные техники сокрытия. Например, загрузка кода напрямую в память процесса, а также обфускация строк и импортов.
"Новая атака Winos 4.0 демонстрирует продуманную многоступенчатую схему: социальная инженерия для входа, упаковка и этапный дроппинг, укрепление присутствия через скрипты и задания, а также попытки скрыть свое поведение в атакуемой сети и процессах", – сказала старший аналитик сетевой безопасности группы компаний "Гарда" Евгения Устинова.
Название или сфера деятельности предприятия, которое подверглось атаке SilverFox, не раскрываются.
Свежие комментарии