Российских специалистов по автоматизации бизнеса атакует BrockenDoor

Российских специалистов по автоматизации бизнеса атакует BrockenDoor

Российских специалистов по автоматизации бизнеса атакует BrockenDoor

При разборе атак на российские компании, специализирующиеся на внедрении софта для автоматизации бизнеса, эксперты «Лаборатории Касперского» выявили неизвестный ранее бэкдор. Вредонос, нареченный BrockenDoor, распространяется в основном по имейл.

В рамках данной кампании засветились и другие зловреды, позволяющие получать удаленный доступ к системам и выкачивать из них конфиденциальные данные, — Remcos RAT и DarkGate.

Целевая атака, как правило, начинается с рассылки поддельных писем от имени реального разработчика продуктов для автоматизации бизнес-процессов. Специалиста по внедрению, настройке, сопровождению такого софта просят ознакомиться с ТЗ, приложенным архивным файлом.

 

В архиве может скрываться исполняемый файл. Чтобы выдать его за безвредный, злоумышленники подменяют имя и расширение по методу Right-to-Left Override (RLO).

В других случаях содержимое было богаче за счет включения двух маскировочных документов PDF. Цепочку заражения запускает третий файл, вредоносный LNK.

Проникнув в систему, новобранец BrockenDoor собирает о ней информацию (имя пользователя и компьютера, версия ОС, сетевые адаптеры, запущенные процессы, файлы на рабочем столе) и отправляет на свой сервер.

В ответ он может получить одну из следующих команд:

  • изменить интервал опроса C2 (по умолчанию чуть более 5 секунд);
  • записать на диск и запустить полученный с C2 файл (варианты запуска: функция С/C++ system, API-функции ShellExecuteA, CreateProcessA, WinExec);
  • запустить CMD или Powershell из командной строки;
  • удалить себя из системы.

Один из найденных семплов также умел выполнять команду на загрузку и запуск клиента Tuoni — появившегося в этом году инструмента, помогающего отрабатывать навыки постэксплуатации, в том числе в ходе групповых киберучений.

«Изначально эта кампания привлекла наше внимание из-за нестандартного использования RLO, — рассказывает эксперт Kaspersky Артем Ушков. — Злоумышленники распространяли вредоносные файлы в архивах, хотя популярные архиваторы не обрабатывают символ RLO и отображают корректное название файла и расширение. Пока мы не можем отнести эти атаки к какой-то известной группе, но будем внимательно следить за развитием кампании».

Российский ИБ-рынок вырос до 211 млрд рублей

После нескольких лет стремительного роста российский рынок информационной безопасности начал переходить в более спокойную и зрелую фазу. Такой вывод содержится в ежегодном аналитическом отчете «Пульс», который подготовила компания «Код Безопасности».

Если в 2022 году отечественный ИБ-рынок вырос сразу на 56%, а в 2023-м — еще на 35%, то в 2025 году темпы заметно снизились. Рост составил 17%, а общий объем рынка достиг 211 млрд рублей.

Самым крупным сегментом остается сетевая безопасность. На нее приходится 23% всего рынка, а объем направления достиг 48 млрд рублей. Однако и здесь заметно замедление: если годом ранее сегмент прибавил 10 млрд рублей, то теперь — только 7 млрд.

Похожая ситуация наблюдается на рынках российских операционных систем и виртуализации. Оба направления выросли символически — на 4% и 5% соответственно, достигнув объема около 13 млрд рублей каждое.

Зато уверенно чувствует себя рынок DLP-систем, предназначенных для защиты от утечек данных. За год сегмент вырос на 26%, до 17 млрд рублей. Аналитики прогнозируют, что к 2030 году его объем может увеличиться до 35-42 млрд рублей. Причины очевидны: ужесточение регулирования и рост ценности данных для бизнеса.

Но главный вывод исследования касается не отдельных технологий, а состояния рынка в целом. По мнению аналитиков, российская отрасль кибербезопасности постепенно выходит из режима экстренного импортозамещения и входит в фазу зрелой конкуренции.

На это указывает и снижение концентрации рынка. Совокупная доля десяти крупнейших ИБ-вендоров сократилась на 5% второй год подряд. Это означает, что заказчики все чаще рассматривают альтернативных поставщиков, а новым игрокам становится проще конкурировать за клиентов.

Как отмечают в «Коде Безопасности», регуляторные требования больше не являются единственным драйвером продаж. Теперь компании гораздо внимательнее оценивают эффективность решений, их функциональность и экономическую целесообразность.

RSS: Новости на портале Anti-Malware.ru