В Trend Micro Security пофиксили угон DLL, используемый китайской APT

Татьяна Никитина 25 Мая 2022 - 16:27

...

Компания Trend Micro устранила уязвимость в одном из своих продуктов, чтобы исключить подмену его DLL на Windows-машинах. Этот трюк, по словам SentinelOne, активно использует китайская APT-группа, занимающаяся шпионажем в пользу КНР.

Группировка, которой было присвоено кодовое имя Moshen Dragon, проводит свои операции в Центральной Азии, атакуя представителей телеком-индустрии. Для загрузки вредоносов в обход традиционных средств защиты хакеры обычно используют копии антивирусов и технику подмены DLL (известная проблема Windows), для продвижения по сети — утилиты из набора Impacket, отдавая предпочтение wmiexec, позволяющей удаленно выполнить сторонний код через WMI.

В ходе атаки в систему поочередно загружаются три файла: антивирус, модификация его DLL и целевой зловред — ShadowPad или свежий вариант PlugX, который в Trellix нарекли Talisman. Комбинация известна в ИБ-сообществе как sideloading triad.

На настоящий момент исследователи выявили пять различных триад Moshen Dragon; они сформированы на основе угнанных продуктов Symantec, TrendMicro, BitDefender, McAfee и Kaspersky.

В целевых атаках хакеров замечены и другие инструменты, в том числе подставной фильтр паролей, загружаемый путем подмены DLL с память lsass.exe для кражи учетных данных, и пассивный бэкдор, который эксперты Avast обнаружили в прошлом году при разборе одной из целевых атак.

Trend Micro подтвердила наличие уязвимости, используемой Moshen Dragon, и внесла исправления в Trend Micro Security потребительского класса. Обновление безопасности раздается через ActiveUpdate с 19 мая, в коммерческих продуктах компании и решениях для бизнеса проблема угона DLL отсутствует.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Татьяна Никитина 24 Апреля 2024 - 21:35

Корпорации ГК «Солар»

Солар показала годовой рост в два раза выше рынка

ГК «Солар» огласила основные финансовые показатели на 31 декабря 2023 года. Выручка возросла на 36% до 17,3 млрд руб., OIBDA — на 46% до 5,6 млрд рублей.

Прирост совокупной выручки по продуктам ИБ составил 50%, по сервисам — 46%. Клиентская аудитория увеличилась до 1000 компаний.

Вместе с тем объемы российского ИБ-рынка сейчас возрастают на 15% в год. На его развитие большое влияние оказывает рост спроса на СЗИ в условиях интенсификации и усложнения кибератак, а также курс страны на импортозамещение.

Так, в прошлом году, по оценке экспертов, число киберинцидентов на территории России возросло на 64%. На 21% увеличилось количество фишинговых сайтов, с DDoS-атаками столкнулись на 40% больше компаний, чем в 2022 году.

Средняя мощность DDoS не превышала 1 Гбит/с, однако такие атаки способны причинить большой ущерб: большинство коммерческих компаний используют каналы шириной до 100 Мбит/с.

Продуктовая стратегия «Солара» нацелена на создание решений для всех сегментов ИБ-рынка. Сейчас в разработке находится 12 новых продуктов.

В следующем месяце ожидается запуск ПАК NGFW, который к сентябрю обещают разогнать до 100 Гбит/с. (Сейчас быстродействие Solar NGFW составляет 20 Гбит/с в режиме FW и 4 Гбит/с в режиме NGFW.)

В этом году ИБ-компания также планирует запустить EDR, NTA, доступное для малого / среднего бизнеса облачное решение; опробовать сервисную модель предоставления услуг и расширить географию поставок своих решений, в том числе на Ближний Восток и в Юго-Восточную Азию.

При внушительном объеме инвестиций в 22 млрд руб. к 2027 году больше половины OIBDA «Солара», по ожиданиям, будут формировать портфели R&D и M&A.