Российские компании атакует неуловимая кибергруппировка

Российские компании атакует неуловимая кибергруппировка

Российские компании атакует неуловимая кибергруппировка

С мая 2023 года финансовые подразделения российских компаний атакует ранее неизвестная группировка DarkGaboon. Её особенностью является использование вредоносной программы Revenge RAT и поддельных документов, имитирующих легитимные материалы финансовой тематики.

Активность DarkGaboon впервые привлекла внимание департамента киберразведки Positive Technologies (PT Expert Security Center) в октябре 2024 года, когда была обнаружена волна атак с использованием Revenge RAT, нацеленная на российские финансовые структуры.

Хотя первые версии этой программы появились ещё в 2018 году, исследователи выявили, что элементы инфраструктуры злоумышленников носят названия, связанные с африканской тематикой. Это позволило связать их с новой финансово мотивированной APT-группировкой, названной DarkGaboon в честь габонской гадюки, обитающей вблизи горы Килиманджаро.

В октябре 2024 года группировка атаковала один из российских банков. В филиал банка было отправлено письмо с темой «Сверка взаиморасчётов». Оно содержало грамотно составленный текст на русском языке, касающийся бухгалтерии, и архив-приманку «Акт сверка.z». В архиве находились таблица Excel, пояснительная записка и вредоносный файл, замаскированный под PDF-документ.

 

Рассылки осуществлялись с ранее скомпрометированного аккаунта Gmail. Управляющий сервер находился за пределами России и использовал адрес 31.13.224[.]86 с панелью управления Revenge RAT. Домены, связанные с инфраструктурой, формировали кластер под названием "kilimanjaro", при этом сами серверы располагались в Европе.

Вредоносная программа защищена криптером с использованием алгоритма AES и обфускацией .NET Reactor. Все образцы Revenge RAT подписаны поддельными сертификатами X.509. Для обхода эвристического анализа зловред активирует пятиминутный таймер, после чего начинается извлечение и расшифровка полезной нагрузки.

Программа закрепляется в системе через каталог автозапуска или директорию C:\Users<user>\AppData\Roaming, внося изменения в реестр Windows. После закрепления Revenge RAT собирает информацию о системе и отправляет её на управляющий сервер.

DarkGaboon регулярно обновляет свои вредоносные программы и документы-приманки, используя четыре основных шаблона с небольшими изменениями. Эта стратегия позволила долгое время оставаться незамеченными. С марта 2024 года частота обновлений увеличилась, что может указывать на рост активности группировки.

Основные жертвы DarkGaboon — российские компании. Среди пострадавших оказались банки, предприятия розничной торговли, сферы услуг, спорта и туризма.

Резервные копии Android начнут съедать место в Google-аккаунте

Google снова подкручивает правила хранения данных: теперь весь Android-бэкап будет учитываться в общем объёме хранилища Google-аккаунта. Изменение стартует 7 июля и касается резервных копий Android-устройств. Раньше в лимит попадали не все данные из бэкапа, а теперь считать будут буквально всё.

Android-бэкап — это не просто пара настроек на всякий случай, туда могут входить данные приложений, история звонков, контакты, настройки устройства, СМС и ММС, сведения аккаунта Google и другие элементы, которые помогают быстро восстановить телефон после сброса или переезда на новый аппарат.

Google в справке также указывает, что Android позволяет сохранять в аккаунт контент, данные и настройки устройства.

Хорошая новость: для большинства пользователей это не должно превратиться в катастрофу, сообщает 9to5Google. По данным Google, типичный бэкап займёт около 40 МБ.

Но нюанс есть: у каждого аккаунта размер резервной копии может отличаться, так что лучше всё-таки проверить, сколько места занимает именно ваш бэкап.

Заодно Google даст пользователям более тонкие настройки резервного копирования. Посмотреть, что именно сохраняется, можно в меню Google Backup на Android. Там же получится настроить, какие данные отправлять в облако, а какие оставить при себе.

Для тех, у кого место в аккаунте уже забито фотографиями, письмами и файлами, новость не самая приятная. Формально речь о небольшом объёме, но тренд понятен: бесплатное облако всё меньше похоже на бесконечный шкаф, куда можно годами скидывать всё подряд. Теперь даже Android-бэкап пришёл со своим маленьким счётом за хранение.

RSS: Новости на портале Anti-Malware.ru