Европол обезвредил крупную хакерскую группировку

Европол обезвредил крупную хакерскую группировку

Сотрудники полиции Евросоюза обезвредили крупную группировку хакеров, участники которой занимались хищениями личных данных и банковской информации. Злоумышленники смогли заразить вредоносной программой (Ramnit) около 3,2 миллиона компьютеров по всему миру.

Ramnit – один из самых крупных ботнетов в современной Сети. Ботнетом называют сеть компьютеров, подконтрольных хакерам, которые используются для распространения вредоносного кода и вирусов.

Вирус с легкостью получал доступ к любым компьютерам, тем самым, давая возможность хакерам удаленно собирать нужную им информацию и производить хищения крупных денежных средств. Вирус имеет функцию отключения антивирусных программ и остается для большинства пользователей зараженных компьютеров незаметным.

В масштабной операции принимали участие сотрудники Европола из Италии, Великобритании, Германии и Нидерландов. Также были привлечены крупные компании, специалисты которых оказали помощь следствию, а именно разработали уникальное приложение, с помощью которого были очищены компьютеры от вируса.

Владимир Ульянов, руководитель аналитического центра Zecurion:

«Современная киберпреступность не имеет границ. Участники одной группировки нередко находятся в разных странах и выполняют различные функции, сбор информации, написание вредоносного кода, его распространение, вывод денег и т. д. Поэтому сотрудничество правоохранительных органов нескольких государств нередко является обязательным условием поимки киберпреступников».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В Windows-версии Яндекс Телемост нашли опасную уязвимость перехвата DLL

Команда PT SWARM обнаружила уязвимость CVE-2024-12168 в Windows-версии «Яндекс Телемост». При успешной эксплуатации она могла позволить злоумышленнику закрепиться на рабочей станции в корпоративной сети. Ещё один потенциальный сценарий — распространение вредоносной версии приложения с подложенной DLL-библиотекой.

Уязвимость получила оценку 8,4 по шкале CVSS 4.0, что соответствует высокому уровню опасности.

Проблема связана с механизмом подгрузки сторонних DLL-файлов (DLL Hijacking) — в этом случае вредоносная библиотека могла запускаться при каждом старте программы, не требуя прав администратора.

Система Windows считает такой способ легитимным, поэтому обычные антивирусы его не фиксируют.

Для выявления подобных атак нужны специальные правила под каждую уязвимость, а создание универсальных решений затруднено из-за высокого риска ложных срабатываний.

По данным TelecomDaily, «Яндекс Телемост» занимает около 19% российского рынка видеосвязи. Вендор был заранее уведомлён об уязвимости, и команда Яндекс 360 выпустила обновление. Пользователям рекомендовано установить версию 2.7 и выше.

Исследователи отмечают, что ещё один способ атаки — это рассылка пользователям архивов с легитимным установщиком и вредоносной DLL в комплекте.

При этом Windows доверяет цифровой подписи «Яндекса» и не блокирует выполнение, так как приложение считается безопасным. В итоге запускается подложенная библиотека, а средства защиты ничего не замечают.

Такой способ атаки затрудняет выявление вредоносной активности: процесс выглядит легитимно и проходит под подписанным приложением, что снижает подозрения со стороны антивирусов и других систем защиты.

Как отмечают специалисты PT SWARM, подобный метод — DLL Side-Loading — уже применялся в других кампаниях, включая действия групп Team46, EastWind, DarkGate, а также при распространении удалённого трояна PlugX.

В одном из недавних проектов по проверке защищённости специалисты использовали найденную уязвимость, чтобы получить стартовый доступ к инфраструктуре финансовой компании.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru