Киберпреступники используют распространенные эксплойты и технологию роя

Олег Иванов 05 Декабря 2017 - 14:57

...

Киберпреступники используют распространенные эксплойты и технологию роя

По данным компании Fortinet, которая провела всемирное исследование угроз, киберпреступники успешно используют распространенные эксплойты и технологию «роя» для оперативного совершения масштабных атак.

«Вне зависимости от того, идет ли речь об атаке при помощи WannaCry в мае или поражении Apache Struts в сентябре, можно заметить, что входной точкой для злоумышленников снова и снова становятся давно известные, но остающиеся неисправленными уязвимости. Бдительное отслеживание новых угроз и уязвимостей должно быть одной из приоритетных задач организаций, однако важно также контролировать и события внутри корпоративной среды», — утверждает Фил Квад (Phil Quade), руководитель по информационной безопасности компании Fortinet.

«Как никогда актуальными стали задачи обеспечения высокого уровня защиты и внедрения подходов, основанных на применении систем безопасности и поддерживающих автоматизацию, интеграцию и стратегическую сегментацию. Злоумышленники широко используют сценарии и технологии автоматизации, и в целях успешного противодействия этой новой тенденции мы должны озаботиться мерами предотвращения атак», — добавляет господин Квад.

По данным отчета Fortinet, высокие показатели повторного появления ботнетов и применения автоматизированных вредоносных программ свидетельствуют о том, что киберпреступники активно задействуют распространенные эксплойты и технологии автоматизации в целях совершения атак на беспрецедентном уровне.

Также компания отмечает, что высокая степень автоматизации атак и применение технологии «роя» становятся обычным делом. Противодействие «роевым» атакам, повторно появляющимся ботнетам и последним атакам с использованием программ-вымогателей — это сложная задача даже для самой квалифицированной команды стратегически мыслящих специалистов по безопасности. В настоящее время любая организация, будучи застигнута врасплох, может стать жертвой огромного количества атак.

«Наш последний отчет содержит актуальные данные, позволяющие с разных сторон оценить тенденции развития угроз. Отчет строится на сведениях о трех основных взаимодополняющих угрозах: это эксплойты-приложения, вредоносное ПО и ботнеты. Кроме того, в отчете приведены данные о важных уязвимостях «нулевого дня» и тенденциях развития соответствующих инфраструктур атак, что дает представление о будущем направлении деятельности киберпреступников, совершающих атаки на организации», — пишет Fortinet в своем пресс-релизе.

Следующая главная новость »

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »

Екатерина Быстрова 13 Февраля 2026 - 14:14

Бэкдоры Трояны Кибершпионаж Целевые атаки Таргетированные атаки Корпорации Государство Лаборатория Касперского

Head Mare атакует российские госструктуры новым бэкдором PhantomHeart

Хактивистская группировка Head Mare снова активизировалась. Аналитики Cyber Threat Intelligence «Лаборатории Касперского» в конце 2025 года зафиксировали новую волну целевых атак на российские госструктуры, строительные и промышленные компании. И судя по всему, инструментарий группы стал более продуманным и автоматизированным.

Главная находка — новый бэкдор PhantomHeart. Изначально он распространялся как DLL-библиотека, но позже злоумышленники переработали его в PowerShell-скрипт.

Это вписывается в стратегию Living-off-the-Land (LOTL), когда атакующие используют штатные инструменты Windows, чтобы не привлекать лишнего внимания. Чем меньше стороннего «зловреда» на диске, тем сложнее его обнаружить.

Вектор первоначального доступа остаётся прежним. Head Mare продолжает эксплуатировать уязвимость BDU:2025-10114 в TrueConf Server. В отдельных случаях используются и фишинговые рассылки. То есть проверенные способы проникновения сочетаются с обновлённой «начинкой» внутри сети.

PhantomHeart после запуска разворачивает SSH-туннель по команде с сервера управления. Это даёт операторам устойчивый удалённый доступ к системе. Параллельно бэкдор собирает базовую информацию: имя компьютера, домен, внешний IP и уникальный идентификатор.

Закрепление в системе тоже продумано: в одной из атак вредонос запускался через планировщик заданий под видом легитимного скрипта обновления в директории LiteManager — популярного инструмента удалённого администрирования. Фактически активность маскировалась под обычную работу ПО.

Кроме того, эксперты отмечают рост автоматизации. Head Mare добавила новые скрипты и утилиты для постэксплуатации. Они помогают автоматически закрепляться в системе, управлять привилегиями и организовывать сетевой доступ. Такой подход снижает «ручную» нагрузку на операторов и позволяет проводить больше атак с большей скоростью и повторяемостью.

Продукты «Лаборатории Касперского» детектируют используемые инструменты под различными вердиктами, включая HEUR:Trojan-Ransom.Win32., Backdoor.PowerShell.Agent.gen и Trojan.PowerShell.Agent..

Подробный технический разбор новой активности Head Mare опубликован на Securelist. Аналитики также отмечают, что тактики и процедуры этой группировки вписываются в более широкую картину угроз, описанную в отчёте «Записки цифрового ревизора: три кластера угроз в киберпространстве».

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »