На информационном ресурсе применяются рекомендательные технологии (информационные технологии предоставления информации на основе сбора, систематизации и анализа сведений, относящихся к предпочтениям пользователей сети "Интернет", находящихся на территории Российской Федерации)

Царьград

7 089 подписчиков

Свежие комментарии

  • Eduard
    Сам бы повесился даун! Ое сам больше позор!Отец убил дочь, о...
  • Нина Лубенкова
    Слов нет, твари, надо уничтожать главарей банды.Трагедия в Алешка...
  • Андрей Павлов
    Ай да мы! Штаты прогибаем. Но с занюханным Азербайджаном, где правят те же англосаксы, ну никак не получается.Переговоры пойдут...

"Лаборатория Касперского" обнаружила новый бэкдор BrockenDoor

Эксперты "Лаборатории Касперского" выявили атаки на русские компании, использующие новый бэкдор BrockenDoor. Злоумышленники применяли фишинговые рассылки и различные сценарии заражения для кражи данных через удалённый доступ.

Эксперты из "Лаборатории Касперского" выявили целенаправленные атаки на русские компании, специализирующиеся на продаже и техническом сопровождении программного обеспечения, предназначенного для автоматизации бизнес-процессов.

Злоумышленники использовали новый бэкдор под названием BrockenDoor, а также известные бэкдоры Remcos и DarkGate, чтобы проникнуть в системы жертв и похитить конфиденциальную информацию.

Атаки начинались обычно с фишинговой рассылки. Преступники отправляли письма, маскируясь под реальные компании, которые специализируются на создании решений для автоматизации бизнеса. Адресатами таких писем становились организации, занимающиеся внедрением и сопровождением этих продуктов. В письме содержалось предложение ознакомиться с техническим заданием, которое было вложено в виде архива.

Были выявлены два сценария заражения. В одном из них в архиве содержался исполняемый файл, позволяющий провести атаку с использованием символа Right-to-Left Override (RLO). Этот непечатный символ Unicode меняет порядок символов, что позволяет злоумышленникам подменять названия и расширения файлов. Таким образом, пользователи открывали файл, не подозревая о его вредоносной природе. В другом сценарии в архиве находились PDF-документ и LNK-файл (ярлык), при открытии которого запускался процесс заражения.

Злоумышленники применяли различные бэкдоры, включая троянец Remcos, загрузчик DarkGate и новый вредоносный код BrockenDoor.

Эти инструменты обеспечивали преступникам доступ к заражённым устройствам для кражи данных.

BrockenDoor соединялся с сервером злоумышленников, передавая им информацию, такую как имя пользователя, версия операционной системы и список файлов на рабочем столе. При выявлении интересных данных злоумышленники отправляли команды для продолжения атаки. Новый вредонос получил название "Брокенский призрак", что связано с оптическим феноменом "призрак Брокена", наблюдаемым в горах при определённых условиях. Такое название возникло благодаря использования идентификаторов Sun, Gh0st и Silhouette.

Данная кампания привлекла наше внимание из-за нестандартного применения RLO. Злоумышленники распространяли вредоносные файлы в архивах, несмотря на то что популярные архиваторы отображают название файла и расширение корректно. Мы установили, что преступники использовали различные сценарии атак и разнообразные семейства вредоносного ПО. Среди них имелись как распространённые бэкдоры Remcos и DarkGate, так и новый вредоносный инструмент BrockenDoor. На данный момент мы не можем отнести эти атаки к какой-либо известной группе, но продолжим следить за дальнейшим развитием кампании,

— отметил Артём Ушков, исследователь угроз в "Лаборатории Касперского".

 

Ссылка на первоисточник
наверх