APT37 использовала встречу представителей КНДР и Донбасса как приманку
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

APT37 использовала встречу представителей КНДР и Донбасса как приманку

Татьяна Никитина 20 Сентября 2022 - 19:37
...
APT37 использовала встречу представителей КНДР и Донбасса как приманку

В Fortinet проанализировали недавнюю имейл-атаку, в ходе которой на машины Windows загружался RAT-инструмент Konni. Вредоносные сообщения были написаны на русском языке и имитировали переписку между российскими дипломатами.

Инструмент удаленного администрирования Konni зачастую использует APT37, она же Ricochet Chollima, InkySquid, ScarCruft, Reaper и Group123. Для его засева северокорейские хакеры и ранее использовали спам-рассылки и похожую схему доставки, поэтому аналитики с большой долей уверенности приписали новую атаку этой APT-группе.

Вредоносные письма незамысловаты и призваны создать видимость официальной переписки. С этой целью злоумышленники сфальсифицировали адрес отправителя и использовали форму ответа на некое предыдущее послание.

 

Примечательно, что вложение поименовано с использованием латиницы. Анализ показал, что zip-архив содержит два файла — Pyongyang in talks with Moscow on access to Donbass.pptx и Donbass.ppam.

Первый служит ширмой: в набор слайдов включены сообщения о встрече высокопоставленных представителей КНДР, ДНР и ЛНР, которая состоялась в прошлом месяце в Москве. Все новости взяты из открытых англоязычных источников, два слайда содержат только текст на русском языке. Все ссылки в этих новостях ведут на легитимные сайты; подозрительного контента в pptx-файле не обнаружено.

Вредоносным оказался Donbass.ppam (файл плагина Microsoft PowerPoint). При его открытии запускается макрос, который прежде всего выводит диалоговое окно с сообщением об ошибке:

 

Используя приглашение командной строки, вредонос помещает большой фрагмент шифротекста (base64) в файл oup.dat и сохраняет его в папке %TMP%. Расшифровка осуществляется с помощью Certutil, итог записывается в файл oup.vbs, с сохранением в %LOCALAPPDATA%\Microsoft\Office.

Скрипт VBS выполняет две задачи: создает запланированное задание Office Updatev2.2, чтобы обеспечить свой запуск каждые пять минут, и выполняет PowerShell-команду на сбор и отправку системных данных в домен gg1593[.]c1[.]biz. Командный сервер злоумышленников, расположенный в Болгарии, уже недоступен, поэтому добыть образец Konni для анализа специалистам не удалось.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

WhatsApp тестирует поддержку нескольких аккаунтов на одном устройстве
Екатерина Быстрова 19 Ноября 2025 - 10:48
AndroidiOS Домашние пользователи
WhatsApp тестирует поддержку нескольких аккаунтов на одном устройстве

WhatsApp (принадлежит Meta, признанной экстремистской и запрещённой в России) наконец-то запустил публичное тестирование функции, которую пользователи ждут уже много лет: возможность работать сразу с несколькими аккаунтами на одном устройстве. Нововведение появилось в свежей бета-версии приложения на TestFlight.

Сейчас пользователям часто приходится выбирать обходные пути — например, устанавливать WhatsApp Business или использовать второе устройство, если нужно вести переписку с двух номеров.

В новом бета-билде, как выяснили в WABetaInfo, такая необходимость отпадает: внутри приложения появится нативная поддержка сразу двух аккаунтов.

 

Тестеры уже видят в настройках новый раздел Account List — или специальную кнопку рядом с иконкой QR-кода. Через него можно добавить вторую учётную запись прямо в приложении, без дополнительных устройств и без установки бизнес-версии мессенджера.

WhatsApp позволяет подключить как совершенно новый номер, который ещё никогда не использовался в сервисе, так и существующий аккаунт — в том числе тот, что был привязан к WhatsApp Business или другому телефону.

Есть и вариант добавить «спутниковый» аккаунт: достаточно отсканировать QR-код, и он автоматически синхронизируется с основным устройством.

Каждая из учётных записей будет иметь свой собственный набор настроек — историю чатов, конфигурацию резервных копий, уведомления и другие параметры. Уведомления также будут отображать, с какого именно аккаунта пришло сообщение.

Пока что система поддерживает максимум два аккаунта, но функция уже выглядит достаточно привлекательной, чтобы ожидать полноценного релиза в ближайшее время. Сроки запуска пока не называются.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Пиратские доходы: −20% в России, +12% в Беларуси за два года
Новость
Пиратские доходы: −20% в России, +12% в Беларуси за два года
Злоумышленники скупают освобождённые домены .рф под казино
Новость
Злоумышленники скупают освобождённые домены .рф под казино
У каждой третьей компании ИБ-штаты заполнены лишь на 50–80%
Новость
У каждой третьей компании ИБ-штаты заполнены лишь на 50–80%

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.