Duqu экплуатирует zero-day уязвимость в ядре Windows

Ксения Ренселаева 02 Ноября 2011 - 22:33

Windows

Symantec

Кража данных

Вредоносные программы

Трояны

Уязвимости программ

...

Стали известны новые подробности исследования нашумевшей вредоносной программы Duqu. Венгерская компания CrySyS сообщила о том, что им удалось обнаружить и провести анализ инсталляционного файла трояна, который до сих пор не был никем идентифицирован.

Как выяснилось, данный файл представляет собой документ офисного приложения Microsoft Word (.doc). Инфицирование системы происходит посредством эксплуатации ранее неизвестной, и, соответственно, незакрытой уязвимости в ядре Windows, допускающей выполнение вредоносного кода. В случае запуска файла, на целевой компьютер происходит установка файлов Duqu. Отметим, что корпорация Microsoft уже работает над устранением обнаруженной уязвимости.

Специалисты из компании Symantec отмечают, что документ был сконфигурирован таким образом, чтобы заражение было возможно только в определенный срок, и предназначался только для обозначенных предприятий. Вредоносной программе было отведено на процесс заражения восемь дней в августе текущего года. Заметим, что данный образец инсталляционного файла на момент публикации являлся единственным в своем роде, и не исключено, что существует еще несколько его разновидностей.

В результате инфицирования целевой системы злоумышленники получают возможность управления действиями своего творения. Как показало расследование, проведенное в одной из пострадавших организаций, управление трояном осуществлялось через сетевой протокол прикладного уровня (SMB), используемого для предоставления удаленного доступа к компьютеру. Важно заметить, что некоторые из зараженных машин не имели подключения к Интернет. Однако файлы конфигурации вредоносной программы, найденные на них, были сформированы таким образом, что связь с удаленным контрольно – командным сервером (C&C) осуществлялась через некий общий C&C протокол, посредством которого «общались» все зараженные компьютеры. Таким образом, с помощью остальных компьютеров, которые в данном случае использовались в качестве прокси-серверов, злоумышленники могли получить доступ к безопасной зоне.

Что же касается количества пострадавших предприятий, то на данный момент мнения противоречивы. Специалисты Symantec сообщают о том, что угроза успела распространиться в нескольких странах, несмотря на то, что общее число компаний, подтвердивших наличие угрозы сравнительно не большое. Тем не менее, угроза была замечена в шести организациях, расположенных в восьми странах, таких как Франция, Нидерланды, Швейцария, Украина Индия, Иран, Судан и Вьетнам. Важно отметить, что эта информация была получена через интернет провайдера, а, следовательно, их количество может быть иным. Более того, невозможно точно идентифицировать предприятие по IP адресу.

И наконец, в ходе проведенной работы стало известно о наличии иного образца Duqu, отличного от ранее известных, контрольно – командный сервер которых находился в Индии. У этого экземпляра C&C сервер находится в Бельгии с IP адресом '77.241.93.160'. В настоящий момент он уже отключен.

Следующая главная новость »

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!

Екатерина Быстрова 07 Апреля 2026 - 11:22

Трояны Фишинг Целевые атаки Таргетированные атаки Малый и средний бизнес Корпорации BI.ZONE

Watch Wolf вышла на охоту: российские компании атакуют через фейковые счета

Кибергруппировка Watch Wolf вновь активизировалась против российских организаций. Как сообщили в BI.ZONE, в марте злоумышленники провели несколько волн фишинговых рассылок и пытались заразить компании трояном DarkWatchman. Атакующие разослали более тысячи писем сотрудникам финансовых и государственных учреждений.

В качестве приманки они использовали вполне привычный для таких атак сценарий: письма маскировались под сообщения от логистических компаний, а внутри лежали вложения, похожие на финансовые документы.

Первая волна была зафиксирована и заблокирована 13 марта. Письма приходили с темой «Счет на оплату» и отправлялись с скомпрометированного почтового адреса. Злоумышленники выдавали себя за сотрудников бухгалтерии логистической компании, чтобы сообщение выглядело максимально буднично и не вызывало лишних вопросов.

Затем, 18 марта, специалисты BI.ZONE остановили ещё несколько рассылок. В одной из них мошенники уже представлялись сотрудниками, связанными с организацией перевозок в промышленном секторе. Сценарий был чуть другим, но суть та же: жертве сообщали, что срок бесплатного хранения груза якобы закончился и нужно срочно что-то делать, иначе груз вернут обратно.

Именно на срочность и давление, как отмечают в BI.ZONE, и был сделан основной расчёт. Во всех письмах злоумышленники пытались подталкивать получателя к быстрому действию и пугали неприятными последствиями, если тот не отреагирует в тот же день.

К письмам прикреплялись архивы с исполняемыми файлами внутри. После запуска такой архив разворачивал вредоносную нагрузку. В систему попадал троян удалённого доступа DarkWatchman, а вместе с ним — дополнительный модуль-кейлоггер, который может скрытно перехватывать вводимые пользователем данные, включая логины и пароли.

Дальше схема уже классическая: после запуска зловред закрепляется в системе, связывается с управляющим сервером и ждёт команд. После этого злоумышленники получают возможность удалённо управлять заражённым устройством и следить за действиями пользователя.

В BI.ZONE связывают эту активность именно с группировкой Watch Wolf (также Hive0117). По словам руководителя управления облачных решений кибербезопасности BI.ZONE Дмитрия Царёва, противостоять таким атакам можно только за счёт комплексной защиты. Речь идёт и о регулярном обучении сотрудников распознаванию фишинга, и о технических мерах — фильтрации почты, анализе вложений и ссылок, использовании антивирусов и EDR-систем.

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!