Информационная безопасность 2009: откуда ждать угрозы?

Информационная безопасность 2009: откуда ждать угрозы?

Rainbow Technologies - ведущий российский дистрибьютор систем информационной безопасности от всемирноизвестных производителей, сообщает о том, что компания WatchGuard Technologies анонсировала пятерку ключевых тенденций информационных угроз в компьютерных сетях в 2009 году.
Картина сетевой безопасности меняется с каждым годом. Важно понимать, откуда ждать угроз и как их предупредить. Вице-президент компании WatchGuard Technologies Eric Aarrestad сформулировал пятерку основных областей, которые станут опасными источниками угроз информационной безопасности в 2009 году.

1. Сеть ставит под угрозу всех. Раньше зонами риска распространения вредоносных кодов и других шпионских атак злоумышленников считались порно сайты и развлекательные порталы. Теперь атаки на пользователей будут направлены c привычных и не вызывающих подозрений сайтов, которые незаметно заражаются SQL инъекциями. Автоматизированные атаки с легкостью распространятся по сети и находят уязвимые места в защите компьютеров, благодаря беспечности пользователей, не желающим признать вероятность такой угрозы.


2. Увеличение числа угроз через использование SSL и HTTPS. С увеличением степени защиты сетей и качеством борьбы с вредоносными шпионскими атаками злоумышленники стремятся нанести ущерб через известные безопасные протоколы SSL и HTTPS, ставя тем самым их надежность под сомнение. Для современных Интернет злоумышленников это новое и благодатное поле для деятельности. WatchGuard рекомендует использовать решения для строгой аутентификации и надежно защищенные VPN-соединения.


3. Социальные сети не безопасны. Всеми любимые и известные социальные веб-ресурсы тоже станут объектом угрозы. Желание любыми путями выяснить личную информацию пользователя приведет к тому, что социальные сайты станут платформами для организации фишинговых атак и других способов мошенничества в Интернет. WatchGuard рекомендует сетевым администраторам блокировать доступ к таким сайтам, если необходимость их использования для работы минимальна.


4. Ботнеты станут тайным. В мире информационной безопасности 2008 год прошел под знаком ботнетов, способов их обнаружения и предотвращения заражения компьютера-жертвы. Извлекая уроки прошлого года, создатели ботов в 2009 году приложат максимум усилий, чтоб их продукт стал незаметным и еще более опасным, так как создание и распространение ботов станет прибыльным делом. Лучшая защита против ботнетов - решение полностью интегрированное, многоуровневое и объединяющее широкий спектр вопросов информационной безопасности.


5. Безопасность и законность. Учитывая увеличивающуюся динамику краж денег с пластиковых карт, счетов, необходимо придирчиво отнестись к уровню защиты, прежде всего тем организациям, которые связаны с электронной коммерцией. Внимательное и серьезное отношение к стандартам безопасности, например PCI DSS станет залогом защищенности. Кроме соблюдения необходимых мер и стандартов безопасности, важно, чтобы на уровне законодательства произошли изменения и ужесточились наказания виртуальных злоумышленников.

«Преступникам не важно, планируется ли сокращение вашего ИТ бюджета в этом году. У них единственная цель – заполучить ваши данные или получить доступ к серверам и сетевым ресурсам вашей компании. Уже сейчас мы понимаем, откуда ждать угрозы, и способны уберечь компании даже в шаге от беды» - сказал Eric Aarrestad, вице-президент WatchGuard Technologies.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Группа Unicorn обновила стилер и возобновила атаки на российские компании

Эксперты отдела Threat Intelligence компании F6 рассказали об обновлении программы-стилера, которую использует киберпреступная группа Unicorn. Эта группировка действует с сентября 2024 года и регулярно атакует российские организации из разных отраслей.

Согласно наблюдениям F6, злоумышленники ведут себя предсказуемо: используют одинаковые домены для связи с командным сервером (C2) и почти не меняют свой самописный стилер Unicorn. Однако осенью 2025 года разработчики вредоноса внесли в него несколько заметных изменений.

Новый домен и обновлённый код

11 августа 2025 года группа зарегистрировала новый домен — van-darkholm[.]org, который почти сразу стал использоваться в атаках. С тех пор Unicorn каждую неделю проводит рассылки фишинговых писем, прикладывая архивы с вредоносными скриптами.

Цепочка заражения остаётся прежней:
письмо с архивом → HTA-файл → VBS-скрипт (с POST-запросом на Discord) → подгрузка дополнительных модулей → запуск стилера Unicorn.

В октябре F6 зафиксировала кампанию, нацеленную на финансовый сектор. Исследователи выделили три пары скриптов, отвечающих за разные этапы работы вредоноса:

  • history_log.vbs / permission_set.vbs — эксфильтрация файлов;
  • timer.vbs / shortcut_link.vbs — сбор данных из Telegram и браузеров;
  • access_rights.vbs / music_list.vbs — обновлённый модуль для связи с C2 и управления через реестр.

Последний компонент добавляет новые команды в ветку HKCU\Software\Redboother\Tool, получает инструкции с сервера и выполняет их через executeglobal. Таким образом, атакующие могут загружать и исполнять новые VBS-скрипты прямо из реестра.

Ошибки злоумышленников

Исследователи F6 отметили, что в коде стилера допущены ошибки. Скрипты из каждой пары должны закрепляться в системе разными способами — через планировщик задач и через создание ключа в реестре. Однако в текущей реализации они перезаписывают сами себя, что может нарушить механизм автозапуска. По мнению специалистов, это говорит о том, что разработчики Unicorn ещё дорабатывают инструмент и пытаются сделать его более стабильным.

Цель атак — кража данных

Главная задача стилера — сбор и экспорт конфиденциальных данных с заражённых устройств. Вредонос может извлекать файлы, cookies, сессии браузеров, историю переписок в Telegram и другие сведения, потенциально полезные для последующих атак.

F6 связывает активность Unicorn с типичными целями финансовой киберпреступности — кражей учётных данных, доступов к корпоративным сервисам и возможностью закрепления в сетях компаний.

Индикаторы компрометации

  • Домен: van-darkholm[.]org
  • SHA1-хэши вредоносных файлов и скриптов доступны в отчёте F6
  • Пути размещения заражённых файлов:
    • %LOCALAPPDATA%\Dropboxy\Public\Magnify\history_log.vbs
    • %LOCALAPPDATA%\Outlooker\Version\Detach\Drag\access_rights.vbs и другие.

Эксперты F6 рекомендуют администраторам корпоративных сетей обратить внимание на обращения к домену van-darkholm[.]org, проверить наличие подозрительных VBS-скриптов и активности в ветке реестра HKCU\Software\Redboother\Tool.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru