Кибершпионы Winnti заразили российскую компанию зловредом 2006 года

Кибершпионы Winnti заразили российскую компанию зловредом 2006 года

Эксперты «Лаборатории Касперского», отслеживающие деятельность киберпреступной группировки Winnti, обнаружили активную угрозу, основным инструментом которой является установщик буткита образца 2006 года.

Угроза, названная HDRoot, представляет собой универсальную платформу, которая заражает компьютер жертвы и может быть использована для запуска других инструментов атаки в операционной системе. «Лаборатория Касперского» обнаружила следы заражения HDRoot в российской компании, которая и раньше становилась жертвой атак Winnti.

Группировка Winnti специализируется на проведении кампаний кибершпионажа против производителей ПО, особенно в области компьютерных онлайн-игр. Недавно было обнаружено, что спектр ее мишеней стал шире и теперь включает в себя фармацевтические и телекоммуникационные компании.

HDRoot был обнаружен, когда эксперты «Лаборатории Касперского» обратили внимание на подозрительный образец вредоносного ПО, обладающий рядом необычных характеристик. В частности, код был защищен от анализа с помощью программы VMProtect, подписанной известным скомпрометированным сертификатом, который принадлежит китайской компании Guangzhou YuanLuo Technology. Этот сертификат уже использовался группировкой Winnti для совершения атак. Кроме того, исполняемый файл был замаскирован под Microsoft Net Command net.exe, очевидно, чтобы снизить риск обнаружения вредоносной программы системными администраторами.

Эксперты «Лаборатории Касперского» обнаружили два типа бэкдоров, запускаемых с помощью платформы HDRoot, но их может быть и больше. Один из этих бэкдоров обходил целый ряд южнокорейских антивирусных средств. Это указывает на то, что группировка Winnti использовала его для запуска вредоносного ПО в целевых системах в Южной Корее. Судя по географии заражения, именно эта страна представляет наибольший интерес для атакующих. В число жертв также входят организации в Японии, Китае, Бангладеш и Индонезии, а также британская и российская компании.

«Одной из основных задач преступников при проведении любой целевой атаки — сохранить ее в тайне. Вот почему они редко используют сложное шифрование кода — это будет привлекать внимание. В данном случае группировка Winnti рискнула, так как нужно было спрятать строчки в теле программы, явно выдающие ее вредоносность. Возможно, злоумышленникам хорошо известно, насколько далеко в своем большинстве администраторы заходят в анализе подозрительных файлов, и знают, что именно нужно скрыть, а что жертвы могут проглядеть. Ведь организации не всегда своевременно внедряют необходимые политики безопасности. Системным администраторам приходится отслеживать очень многое, поэтому, если штат IT-специалистов в компании небольшой, шансы киберпреступников на то, что их деятельность останется незамеченной, особенно высоки», — комментирует Дмитрий Тараканов, ведущий антивирусный эксперт «Лаборатории Касперского».

Возможно, авторы вредоносной программы, созданной в 2006 году, стали впоследствии членами группировки Winnti, образовавшейся, как предполагают в «Лаборатории Касперского», в 2009 году. Этим можно было бы объяснить обращение к инструменту почти десятилетней давности. Но не исключено, что Winnti использовала ПО сторонних поставщиков. Возможно, эта утилита и программный код доступны на «черном» киберпреступном рынке.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

34% тестировщиков применяют ИИ для генерации кода, 28% — для тест-кейсов

2ГИС решила разобраться, как себя чувствует русскоязычное QA-сообщество: чем пользуются тестировщики, как устроены процессы и как в работу проникает искусственный интеллект. В исследовании поучаствовали 570 QA-специалистов, почти половина из них работают в крупных компаниях.

57% опрошенных сказали, что подключаются к разработке фич ещё на этапе обсуждения требований — то есть задолго до появления кода.

Лишь 20% приходят в проект только после завершения разработки. А вариант «подключаюсь, когда в продакшене что-то сломалось» — уже почти экзотика.

89% команд используют автотесты — от юнитов до UI. Но вот инструменты вокруг них, вроде поддержки, аналитики и стабильности, применяют далеко не все. Например, код-ревью автотестов делают только 39% опрошенных, а 28% команд вообще не отслеживают никаких метрик и работают «вслепую».

ИИ используют не все, и в основном — для рутинных задач

Хотя ИИ уже прочно вошёл в мир тестирования, чаще всего его применяют для типовых задач:

  • написание тестового кода (34%),
  • генерация тест-кейсов (28%),
  • и тестовых данных (26%).

 

Более продвинутые сценарии вроде анализа тестов, автоматического поиска багов и визуального тестирования пока используются редко. Например, только 5% автоматизируют дефект-дискавери, и лишь 4% пробуют AI для визуальных проверок. А 22% QA-специалистов вообще не используют ИИ в своей работе.

Главные проблемы в тестировании

На первом месте — сжатые сроки. Об этом сказали 71% участников опроса. На втором — слабое вовлечение QA в процессы (40%) и нехватка квалифицированных специалистов (37%).

Как измеряют качество

  • Главная метрика — количество найденных багов (58%).
  • Покрытие автотестами учитывают 43%, покрытие кода — только 23%.
  • Стабильность тестов (например, чтобы они не «флапали») отслеживают всего 15% команд.

Что будет с профессией дальше? Мнения разделились:

  • 37% считают, что всё уйдёт в тотальную автоматизацию;
  • 35% уверены, что ничего особо не поменяется;
  • почти треть верит, что QA станет глубже интегрироваться в специфические направления вроде ИБ и производительности;
  • 27% видят будущее за DevOps и SRE — то есть тесной работой на всех этапах: от разработки до эксплуатации.
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru