Кампания кибершпионажа на Ближнем Востоке затронула более 50 стран во всем мире

Кампания кибершпионажа на Ближнем Востоке затронула более 50 стран мира

«Лаборатория Касперского» раскрыла первую из известных кампанию кибершпионажа арабского происхождения, основной удар которой направлен на стратегически важные организации в странах Ближнего Востока.

Наибольшее число жертв операции, получившей название Desert Falcons, зарегистрировано в Египте, Палестине, Израиле и Иордании, однако немало пострадавших есть и в других странах, в том числе в России. В общей сложности арабские кибернаемники атаковали более 3 тысяч пользователей в 50 с лишним странах и украли свыше миллиона файлов. 

Кибернападениям подверглись правительственные учреждения, особенно те их сотрудники, которые отвечают за предотвращение отмывания денег, а также занимаются вопросами здравоохранения и экономического развития. Целью киберпреступников стали также военные ведомства, ведущие СМИ, исследовательские и образовательные учреждения, энергетические компании и коммунальные предприятия, активисты и политические лидеры, охранные агентства, а также ряд других организаций, владеющих важной геополитической информацией.  

Кампания кибершпионажа Desert Falcons находится в активной фазе по меньшей мере два года. Несмотря на то что первые атаки были зафиксированы в 2013 году, к разработке и планированию кибероперации злоумышленники приступили еще в 2011-м. Пик активности Desert Falcons пришелся на начало 2015 года. 

Эксперты «Лаборатории Касперского» предполагают, что организаторами атак являются хакеры арабского происхождения: группа из приблизительно 30 человек разбита на три команды, которые ведут свою деятельность в разных странах. 

Основным способом доставки вредоносного ПО на компьютеры пользователей является целевой фишинг. Организаторы Desert Falcons отправляют потенциальным жертвам сообщения с вредоносными вложениями или ссылками по электронной почте, в социальных сетях или чатах. При этом киберпреступники маскируют зловреды под легитимные приложения. Так, они используют специальный прием, позволяющий менять порядок символов в названии файла на обратный, благодаря чему файловое разрешение, очевидно указывающее на вредоносную программу (.exe или .scr), оказывается в середине названия, а в конце появляется набор символов, характерный для безобидного ПО: например, файл, чье название оканчивается на .fdp.scr, после подобной обработки будет выглядеть как .rcs.pdf.

В случае успешного заражения компьютера жертвы атакующие используют либо основной троянец Desert Falcons, либо DHS бэкдор. Оба зловреда созданы киберпреступниками «с нуля» и находятся в процессе постоянной доработки. Эксперты «Лаборатории Касперского» выявили более 100 различных образцов вредоносного ПО, используемого злоумышленниками в этой операции. С их помощью хакеры делают снимки экранов, перехватывают нажатия клавиш на клавиатуре, загружают и скачивают файлы, собирают информацию обо всех имеющихся на компьютере файлах в форматах Word и Excel, крадут пароли и делают аудиозаписи. Кроме того, были найдены следы активности вредоносного ПО, напоминающего по своему функционалу бэкдор для Android, который способен красть информацию о звонках с мобильного телефона и SMS.

«Организаторы этой кампании кибершпионажа крайне целеустремлены, активны, имеют хорошую техническую подготовку и прекрасно понимают политическую и культурную ситуацию. Имея в своем арсенале лишь фишинговые приемы, социальную инженерию и самодельные зловреды, они смогли заразить сотни компьютеров и мобильных устройств на Ближнем Востоке и заполучить ценную информацию, – отмечает Дмитрий Бестужев, ведущий антивирусный эксперт «Лаборатории Касперского». – Мы предполагаем, что операция Desert Falcons будет развиваться и дальше, а ее организаторы будут совершенствовать свои методы и инструменты. Например, при достаточной финансовой поддержке они смогут купить или создать эксплойты – и тогда эффективность их атак возрастет». 

WinRAR снова чинит опасную дыру: архив мог привести к переполнению памяти

RARLAB выпустила WinRAR 7.23 и закрыла уязвимость CVE-2026-14191, связанную с обработкой восстановительных томов RAR5. Проблема затрагивает WinRAR, RAR и UnRAR до версии 7.23. Подтверждённых кибератак пока нет, но расслабляться всё равно рано.

Ошибка находится в парсере файлов .rev. WinRAR неправильно рассчитывал размер внутреннего списка по первому .rev-файлу, а затем доверял значениям из следующих файлов набора.

Проверки на соответствие реальному размеру не было, из-за чего специально подготовленный архив мог записать данные за пределы буфера.

Итог — переполнение буфера, повреждение памяти и потенциальная возможность для дальнейшей атаки. В лучшем случае приложение просто упадет. В худшем — злоумышленник попробует использовать сбой для выполнения вредоносного кода.

Для срабатывания уязвимости нужно действие пользователя: жертва должна запустить проверку или восстановление вредоносного архива. Но это как раз тот сценарий, который для архиваторов выглядит вполне буднично.

Уязвимость особенно неприятна из-за популярности WinRAR. Архиватор установлен на огромном количестве компьютеров, а такие программы злоумышленники любят: пользователи открывают архивы регулярно и часто без особых подозрений. Тем более что другие баги WinRAR уже активно эксплуатировались в атаках в 2025 году.

В версии 7.23 RARLAB также усилила обработку символических ссылок при распаковке и обновила встроенную библиотеку 7-Zip, чтобы подтянуть исправления из основного проекта. При этом UnRAR.dll не обрабатывает recovery-volume файлы, поэтому именно этот компонент неуязвим к CVE-2026-14191.

Пользователям следует обновиться до WinRAR 7.23 как можно скорее. До установки патча лучше не запускать проверку и восстановление .rev-наборов из непроверенных источников и в целом осторожнее относиться к архивам от неизвестных отправителей.

RSS: Новости на портале Anti-Malware.ru