Кибершпионская группа Strider нацелена на Россию, Китай и Европу

Олег Иванов 08 Августа 2016 - 16:30

Малый и средний бизнес

...

Специалисты Symantec обнаружили хитрую кибершпионскую группу, которой удавалось долгое время оставаться в тени. Целью этой группы были организации, находящиеся в России, Китае и ряде стран Европы.

Группа, известная под названием Strider действует приблизительно с 2011 года. Symantec проанализировала один из инструментов этой группы - Remsec, после того, как клиент представил образец, обнаруженный его антивирусным средством из-за подозрительного поведения.

По мнению исследователей, Remsec является вредоносной программой, в первую очередь предназначенной для шпионажа. Remsec может отслеживать и логировать нажатия клавиш, красть файлы с компьютера , в общем, выступать в качестве бэкдора (backdoor).

«Remsec содержит ряд функций, помогающих ему избежать обнаружения. Некоторые из его компонентов в виде двоичных больших объектов сложнее обнаружить с помощью традиционных антивирусных средств» - объясняют исследователи Symantec – «В дополнение к этому, большая часть функционала вредоноса развернут в сети, то есть он находится только в памяти компьютера и никогда не хранится на диске. Это также затрудняет обнаружение и указывает на то, что группа Strider очень подготовлена и компетентна технически».

Symantec обнаружила в общей сложности 36 заражений в 7 организациях в четырех странах. В России, Китае, Бельгии и Швеции.

Вредный функционал обеспечивается связкой модулей, каждый из которых отвечает за конкретную задачу. Например, Remsec выдает себя за программный интерфейс между приложениями и провайдерами безопасности. Вредоносная программа также включает в себя три различных модуля бэкдора (базовый, продвинутый и HTTP).

Интересно отметить, что модули загрузчика и кейлоггера написаны на языке программирования Lua. Исследователи отметили, что это похоже на Flame, весьма сложное кибер-оружие, приравниваемое к Stuxnet и Duqu. Анализ модуля кейлоггера также показал, что его код содержит отсылки к Саурону (Sauron), главному антагонисту Властелина колец.

Symantec также отметили, что одна из жертв Strider была ранее заражена еще одним сожным трояном Regin, который использовался в кибер-шпионских операциях, по крайней мере, с 2008 года. Стоит отметить, что оба трояна Regin и Flame ассоциировались с определенными государствами, в том числе, с Британией, Америкой и Израилем.

Symantec считает, что Strider может также спонсироваться каким-либо государством, этот вывод основан на возможностях, сложности вредоноса и характере его целей.

Чтобы помочь организациям обнаружить присутствие угрозы на их системах, компания опубликовала небольшой документ.

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Яков Шпунт 09 Февраля 2026 - 11:21

Мошенничество Онлайн-мошенничество Домашние пользователи F6

Фейковый маркетплейс Zadrotik обманывает геймеров и подписчиков сервисов

Компания F6 предупредила о мошенническом маркетплейсе Zadrotik, ориентированном на российских пользователей. Площадка специализируется на продаже игрового инвентаря и виртуальных товаров для популярных игр, а также подписок на различные онлайн-сервисы. Ресурс продолжает работать, и, по данным компании, уже есть пострадавшие.

Как сообщили в F6, на сайте пользователям предлагают приобрести якобы лицензионные ключи, внутриигровые предметы и игровую валюту для Genshin Impact, CS2, Standoff 2, Fortnite и PUBG Mobile.

Помимо игрового контента, на маркетплейсе доступны подписки на ChatGPT, Spotify, iTunes и ряд других популярных сервисов. Стоимость товаров варьируется от 1 до 500 тыс. рублей. Сайт размещён в доменной зоне .COM и на момент публикации продолжает открываться.

Ресурс активно рекламируется на различных площадках, включая социальные сети, видеохостинги, тематические форумы и игровые каналы. При этом, как отмечают в F6, мошеннический характер сайта с первого взгляда практически не заметен, несмотря на отсутствие какого-либо сходства с легальными сервисами. «Например, в оформлении магазина почти нет характерных для мошеннических сайтов орфографических ошибок. Структура сайта включает разделы “Условия использования” и “Оферта”, в которых описаны особенности взаимодействия с пользователями», — пояснили в компании.

По словам экспертов, схема работы ресурса строится на предложении промокода на первую покупку с ограниченным сроком действия. Перед оплатой пользователю предлагают указать адрес электронной почты для получения цифрового товара, а также выбрать способ оплаты — банковской картой, через QR-код или криптовалютой.

Однако, как подчёркивают в F6, вне зависимости от выбранного способа оплаты данные платёжных средств оказываются скомпрометированы, а покупатель теряет деньги, не получив обещанный товар. При обращении в техническую поддержку «сотрудники» сервиса ссылаются на техническую ошибку и предлагают повторить платёж. По оценкам компании, средний чек пострадавших пользователей составил 2 397 рублей.