В арсенале кибергруппы Andariel появился новый троян

В арсенале кибергруппы Andariel появился новый троян — EarlyRat

Екатерина Быстрова 30 Июня 2023 - 11:01

Корпорации

Лаборатория Касперского

Таргетированные атаки

...

В арсенале кибергруппы Andariel появился новый троян — EarlyRat

Специалисты «Лаборатории Касперского» обнаружили новый инструмент, который теперь использует группировка Andariel (входит в состав Lazarus). Это классический троян, открывающий удалённый доступ к устройству; эксперты назвали его EarlyRat.

Andariel задействует новый RAT вместе со шпионским софтом DTrack и программой-вымогателем Maui. Вектор атаки реализуется через эксплойт Log4j.

Изучая один из случаев использования этого эксплойта, эксперты выявили версию трояна EarlyRat. Стало ясно, что вредонос попадает в систему через уязвимость или ссылки в фишинговых документах. Kaspersky приводит пример такого документа:

Воссоздав процесс выполнения команд, исследователи обнаружили, что оператор зловреда, скорее всего, неопытный или начинающий киберпреступник: было много ошибок и опечаток («Prorgam» вместо «Program» и т. п.).

EarlyRat, как и другие вредоносы класса RAT, собирает информацию о системе и передает её на командный сервер. Отправляемые данные включают уникальные идентификаторы заражённых компьютеров и зашифрованные запросы с использованием этих идентификаторов.

Функциональность EarlyRat отличается простотой — ограничивается выполнением команд. Троян имеет много общего с MagicRat, вредоносной программой, также входящей в арсенал Lazarus. Оба зловреда используют фреймворки (QT для MagicRat и PureBasic для EarlyRat).

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Татьяна Никитина 13 Июня 2024 - 16:26

Общее

США запретят поддержку производственного и ERP-софта в России

С 12 сентября в США введут запрет на продажу ИТ-услуг консультирования, проектирования, поддержки производственного софта «любому лицу из РФ». В санкционный список добавлены более 300 имен, среди них — Мосбиржа и Национальный клиринговый центр.

Согласно пресс-релизу американского Минфина, новые ограничительные меры призваны увеличить давление на Россию, повысить риск санкций для иностранных финансистов за помощь российскому ВПК, закрыть возможности обхода действующих санкций.

Новые нормы экспорта ИТ из США запрещают предоставление россиянам консультаций и услуг проектирования в этой сфере, а также облачного обслуживания и поддержки софта для управления предприятиями, проектирования и производства.

Репрессивные меры, по заверению американских властей, не заденут интересы рядовых граждан. Разрешения на «определенные телекоммуникации», а также транзакции гуманитарного характера и связанные с интернетом остаются в силе; это должно смягчить последствия для гражданского общества России и сохранить свободный доступ к ИКТ.

«Принятые меры нанесут удар по оставшимся [у РФ] возможностям получения материалов и оборудования из третьих стран, — заявила министр финансов Джанет Йеллен (Janet L. Yellen). — Мы повышаем риск [санкций] для финансовых институтов, имеющих дело с военной экономикой России, и снижаем ее выигрыш от доступа к иностранным технологиям, оборудованию, программному обеспечению и ИТ-услугам».

Новые участники санкционного списка США базируются в России, Европе, Азии, Африке, на ближнем Востоке и Карибах. Это финансисты, кораблестроители, сталелитейщики, геологи, нефтяники, а также производители микроэлектроники, радиоаппаратуры, двигателей, генераторов, кондиционеров, герметиков, пластика, источников питания, разъемов и печатных плат.

Всем попавшим в этот перечень будет закрыт доступ к собственности в США. Заблокируют также активы, принадлежащие подсанкционным лицам на 50% и более. Любые операции с таким имуществом на территории страны, в том числе по инициативе американских граждан, потребуют особого разрешения властей.

В арсенале кибергруппы Andariel появился новый троян — EarlyRat

Читайте также