Газета.ру
ГЛАВНАЯНОВОСТИПОЛИТИКАБИЗНЕСОБЩЕСТВОАРМИЯМНЕНИЯКУЛЬТУРА
НовыеЛучшиеОбсуждаемыеКомментарииУчастники сайта
Рубрики
cookingКулинарияfamilyДети и семьяshowШоу-бизнесpoliticsПолитикаhealthЗдоровье
Моя лента
ЧАТЫЧАТЫОпросыОпросыБлогерыБлогерыГлас народаГлас народаПопулярноеПопулярноеОбсуждаемоеОбсуждаемое
Мессенджер МТО компанииО компанииО редакции ГлагоLО редакции ГлагоLНовостиНовостиПартнерамПартнерамРекламодателямРекламодателямОбратная связьОбратная связьПожаловаться на спамПожаловаться на спамСоглашениеСоглашениеРекомендательные технологииРекомендательные технологии

На информационном ресурсе применяются рекомендательные технологии (информационные технологии предоставления информации на основе сбора, систематизации и анализа сведений, относящихся к предпочтениям пользователей сети "Интернет", находящихся на территории Российской Федерации)

Газета.ру

8 409 подписчиков

Популярные статьи

Свежие комментарии

  • Вад Кук
    И зачем их в плен брать?РИА: украинские в...
  • Maxim
    Заряд Шмеля - на дрон: они - первые начали...РИА Новости: ВСУ ...
  • Надежда
    Могу предположить, что сделал он это вынуждено, ведь ни для кого не секрет, что бандерофашистня даже лишала пленных г...Участник СВО, уво...

Bi.Zone: хакеры Core атаковали оборонку РФ с помощью плохо детектируемого ПО

Хакерская группировка Core Werewolf атаковала российские оборонно-промышленные организации и субъекты критической информационной инфраструктуры. Около месяца назад злоумышленники стали использовать в своих операциях новый загрузчик собственной разработки, написанный на непопулярном языке программирования Autoit, что усложнило его детектирование.

Об этом "Газете.Ru" сообщил руководитель подразделения Threat Intelligence в компании Bi.Zone.

Представители Core Werewolf рассылали фишинговые письма со ссылками, по которым находились RAR-архивы. Внутри тех, в свою очередь, находились самораспаковывающиеся файлы (SFX). Каждый из них содержал вредоносный скрипт (программный код, – "Газета.Ru)", необходимый для его исполнения легитимный интерпретатор (позволяет запускать код как программу без предварительной компиляции – "Газета.Ru"), а также отвлекающий документ в формате PDF. Если пользователь открывал архив, чтобы посмотреть "документы", содержимое SFX-файла автоматически извлекалось в папку для хранения временных файлов (TEMP). Затем с помощью интерпретатора запускался загрузчик, сервис, который устанавливал вредоносное ПО на скомпрометированное устройство.

"Уровень детектируемости используемых инструментов постоянно растет. В связи с этим преступники вносят изменения в свой арсенал, надеясь, что это позволит им дольше оставаться незамеченными в IT-инфраструктуре жертвы. Чем реже инструмент используется в атаках, как в данном случае язык Autoit, тем больше у злоумышленников шансов, что средства защиты не смогут его распознать", – сказал "Газете.Ru" Скулкин.

С июня этого года группировка также стала экспериментировать со способами доставки вредоносных файлов. Если раньше Core Werewolf рассылали RAR-архивы исключительно по e-mail в фишинговых письмах, то теперь целевые организации начали получать сообщения с вредоносными вложениями в мессенджерах, чаще всего в Telegram.

Для защиты от атак Core Werewolf российским компаниями рекомендовали использовать актуальные средства безопасности, умеющие работать с ПО, написанным на языке программирования Autoit.

Впервые Core Werewolf была замечена в атаках на РФ летом 2021 года.

 

Ссылка на первоисточник
Технологии

Картина дня

наверх