Кибершпионы атакуют финансовую отрасль Саудовской Аравии

...

Компания Palo Alto Networks сообщает об атаке, предпринятой против финансовых и технологических организаций Саудовской Аравии в мае 2016 года. Неизвестные злоумышленники использовали троян Helminth, который маскирует взаимодействие с командным сервером под запросы DNS.

Специалисты компании полагают, что за атакой стоят те же люди, которые в прошлом атаковали саудовский ВПК.

Троян распространяется методами прицельного фишинга. Выбранные злоумышленниками жертвы получают электронные письма, предлагающие услуги или техническую поддержку. К письмам прилагается таблица Excel с вредоносным макросом, который скачивает и устанавливает Helminth.

Основная версия трояна состоит из двух скриптов: update.vbs, написанного на VBScript, и dns.ps1 для PowerShell. Первый скрипт отправляет на командный сервер запросы HTTP, а затем загружает дополнительные файлы или исполняет присланные команды. Dns.ps1 использует более хитрый метод. Он отправляет командному серверу запросы DNS, переводит присланные IP-адреса в символы и складывает из них новый скрипт. Так продолжается до тех пор, пока сервер не вернёт адрес «35.35.35.35». Это сигнал. Получив его, dns.ps1 прекращает бомбить сервер запросами и запускает результат своей работы, пишет xakep.ru.

Существует и ещё одна версия Helminth. Она действует по тому же принципу и подключается к тем же командным серверам, но представляет собой не скрипт, а полноценное приложение Windows. Именно ему червь обязан своим именем. Исследователи обнаружили, что в отладочной информации исполняемого файла сохранилось название каталога, которое использовал разработчик: E:\Projects\hlm updated\Helminth\Release\Helminth.pdb,

История регистрации доменов, на которых размещены командные серверы, позволяет предположить, что организаторы атаки базируются в Иране.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

Читайте также

Практика

Юридические аспекты внедрения DLP-системы

16 Ноября 2018

Аналитика

Правомерность отправки банками СМС и push-уведомлений клиентам

19 Ноября 2018

ПАК Соболь версии 4 получил сертификат соответствия ФСТЭК

Олег Иванов 10 Декабря 2018 - 20:00

Корпорации Код Безопасности

ПАК Соболь версии 4 получил сертификат соответствия ФСТЭК

Компания «Код безопасности» объявляет о получении сертификата соответствия ФСТЭК России на ПАК «Соболь» версии 4. Сертификат №4043 от 05.12.2018 г. подтверждает соответствие нового электронного замка «Соболь» 4 требованиям ФСТЭК России к средствам доверенной загрузки уровня платы расширения второго класса защиты.

Полученный сертификат сроком действия до 05.12.2023 г. дает возможность использования ПАК «Соболь» версии 4 для защиты конфиденциальной информации и гостайны с грифом «совершенно секретно», для применения продукта в автоматизированных системах до класса защищенности 1Б включительно, в ИСПДн до УЗ1 включительно и в ГИС до 1-го класса защищенности включительно.

О выпуске ПАК «Соболь» версии 4 «Код безопасности» объявил в январе текущего года. Четвертое поколение ПАК «Соболь» стало новым шагом в развитии продукта: значительно изменились функциональные возможности электронного замка, и при этом сохранилась преемственность интерфейса, к которой привыкли пользователи предыдущей версии. Ключевыми отличиями нового поколения модулей доверенной загрузки стали поддержка технологии UEFI, совместимость с USB 3.0, а также расширение функциональных возможностей.

Функционирование ПАК «Соболь» в среде UEFI дает возможность использовать для хранения и обработки конфиденциальных данных и гостайны современные компьютеры. Поддержка разметки GPT позволяет работать с жесткими дисками объемом более 2 терабайт.

В новой версии продукта обеспечена поддержка совместимости с USB 3.0 и осуществлен переход от 16-битной к 64-битной архитектуре. Интеграция с новыми типами идентификаторов по сравнению с предыдущей версией ПАК «Соболь» требует значительно меньших затрат.

В ПАК «Соболь» 4 расширен список поддерживаемых идентификаторов:

USB-ключи: JaCarta-2 ГОСТ, JaCarta-2 PKI/ГОСТ, JaCarta SF/ГОСТ, Rutoken ЭЦП и Rutoken Lite;
Смарт-карты: JaCarta-2 ГОСТ, JaCarta-2 PKI/ГОСТ.

С полным списком поддерживаемых идентификаторов можно ознакомиться на странице «Возможности».

Для упрощения использования ПАК «Соболь» в крупных инфраструктурах количество поддерживаемых пользователей было увеличено с 32 до 100, кроме того, были расширены возможности журнала безопасности: количество записей возросло с 80 до 2000. Для повышения удобства привычную консоль электронного замка сменил графический интерфейс, однако логика управления была сохранена. Также появилась возможность работы с компьютерной мышью.

Электронный замок «Соболь» версии 4 уже поступил в продажу в трех форматах исполнения: на платах PCI Express, Mini PCI Express Half и М.2.