Грядет новая волна кибершпионажа

Грядет новая волна кибершпионажа

Эксперты «Лаборатории Касперского» сообщают о новой волне кампании кибершпионажа NetTraveler (также известной, как Travnet, Netfile или Red Star APT), поразившей ранее сотни государственных и частных организаций в более чем 40 странах мира. Среди выявленных целей операции NetTraveler были правительственные учреждения, посольства, политические активисты, военные организации, нефтегазовые компании, научно-исследовательские центры и университеты, многие из которых располагались на территории России.

Сразу же после огласки «Лабораторией Касперского» в июне 2013 года действий группы, стоящей за NetTraveler, злоумышленники отключили свои командные центры и перенесли их на новые серверы в Китае, Гонконге и Тайване. При этом, как показал анализ текущей ситуации, киберпреступники продолжили беспрепятственно совершать атаки.

В течение последних нескольких дней были зафиксированы целевые фишинговые рассылки уйгурским активистам. Использованная злоумышленниками Java-уязвимость оказалась более эффективной для заражения компьютеров жертв, так как была закрыта Oracle лишь в июне этого года, а значит, все еще широко распространена среди пользователей. Предыдущая серия атак осуществлялась через уязвимости Microsoft Office (CVE-2012-0158), «заплатки» для которых были выпущены компанией Microsoft еще в апреле.

В дополнение к фишинговым рассылкам, группа злоумышленников теперь также применяет технику «Watering Hole», заключающуюся в веб-перенаправлениях и принудительной загрузке файлов со специально подготовленных доменов, заражая тем самым посетителей веб-сайтов. За прошедший месяц специалисты «Лаборатории Касперского» перехватили и заблокировали ряд таких попыток заражения со стороны домена ‘wetstock[dot]org’, который уже был связан с кампанией NetTravaler ранее. Перенаправления происходили с различных уйгурских сайтов, которые были предварительно взломаны и заражены атакующими.

Эксперты «Лаборатории Касперского» полагают, что злоумышленники могут использовать и другие средства для достижения своих целей, поэтому выработали ряд рекомендаций, как оградить себя от подобных атак:

  • Обновите Java до самой актуальной версии. Если вы не пользуйтесь Java, деинсталлируйте это приложение;
  • Установите самые свежие обновления Microsoft Windows и Microsoft Office;
  • Обновите все стороннее программное обеспечение, например Adobe Reader;
  • Используйте безопасный интернет-браузер, например Google Chrome, цикл разработки и обновления которого быстрее, чем у штатного Windows-браузера Internet Explorer;
  • Не спешите переходить по ссылкам и открывать вложения в письмах от неизвестных лиц.

«К счастью, на данный момент мы не обнаружили случаев использования уязвимостей нулевого дня хакерами, стоящими за NetTraveler. В этом случае даже постоянное применение обновлений не может гарантировать полной защищенности, однако ее можно обеспечить такими технологиями как «Запрет по умолчанию» и «Автоматическая защита от эксплойтов», которые входят в состав современных защитных решений», - прокомментировал Костин Раю, руководитель центра глобальных исследований и анализа угроз «Лаборатории Касперского».

Троян-комбайн атакует разработчиков: ворует пароли, майнит и заражает файлы

Специалисты «Доктор Веб» исследовали новый троян, который работает не как один вредонос, а как целый набор инструментов. Он нацелен на supply chain attack — атаки на цепочки поставок — и особенно интересуется проектами на C++ и C#. Главная озабоченность в том, что троян не ограничивается одной функцией.

Он одновременно ведёт себя как стилер, клиппер, бэкдор, майнер и источник заражения файлов.

Зловред может красть данные, подменять информацию, давать злоумышленникам удалённый доступ, майнить криптовалюту и распространяться дальше через заражённые файлы.

Первые случаи распространения вредоноса зафиксировали в последнем квартале 2025 года. С тех пор его постоянно дорабатывают. В основном троян расползается по интернету через заражённые .exe- и Python-файлы, а сам процесс заражения устроен в несколько этапов.

В зоне риска токены Discord, которые позволяют заходить в аккаунты без логина и пароля, пароли и cookie из популярных браузеров, включая Chrome, Edge, Opera, Brave и «Яндекс Браузер», папки Telegram Desktop и данные криптокошелька Exodus.

С браузерами троян работает не только стандартными методами. Он может использовать файл CCCWF.tmp, который встраивается в браузер, считывает пароли и сохраняет их в текстовые файлы. То есть пароль даже не нужно взламывать, его просто аккуратно достают изнутри.

С Exodus история ещё опаснее. Вредонос не просто крадёт папки кошелька, а модифицирует само приложение: находит файл app.asar и заменяет его на поддельную версию, скачанную с сервера злоумышленников. В ней спрятана функция, которая при запуске отправляет мнемонические фразы кошелька атакующим.

RSS: Новости на портале Anti-Malware.ru