Лаборатория Касперского обнаружила бекдор в ПО NetSarang

Александр Панасенко 16 Августа 2017 - 15:51

Общее

Вредоносные программы

Бэкдоры

Утечки информации

Кража данных

...

Лаборатория Касперского обнаружила бекдор в ПО NetSarang

Эксперты «Лаборатории Касперского» обнаружили, что в популярном серверном ПО содержалась программа-бекдор ShadowPad, которую внедрили злоумышленники с целью кражи данных из корпоративных сетей крупных компаний. Под угрозой оказались пользователи программного обеспечения NetSarang из различных индустрий, многие из них являются организациями из списка Fortune 500.

«Лаборатория Касперского» незамедлительно сообщила о зловреде компании-разработчику NetSarang, и та в свою очередь оперативно удалила из своего продукта вредоносный код и выпустила закрывающее уязвимость обновление.

Бекдор ShadowPad был найден в ходе расследования подозрительной активности в корпоративной сети одной финансовой организации. Специалисты этой компании обратились к экспертам «Лаборатории Касперского», обнаружив, что в системе, обрабатывающей финансовые транзакции, стали появляться подозрительные DNS-запросы (DNS – domain name server). Расследование показало, что источником этих запросов стало легитимное ПО для управления серверами которое используется сотнями компаний по всему миру. Однако подобные запросы были вовсе не типичны для этого ПО – именно этот факт и заставил аналитиков изучить программу внимательнее.

В результате эксперты «Лаборатории Касперского» выяснили, что подозрительные запросы исходили от спрятанного внутри вредоносного модуля, который связывался с командным центром злоумышленников каждые 8 часов. Эти запросы содержали базовую информацию о системе компании-жертвы. В случае если потенциальная жертва представляла интерес для атакующих, с командного сервера поступал ответный запрос, активировавший предварительно загруженную в систему программу-бекдор, которая в свою очередь могла подгружать и запускать другие вредоносные модули.

Эксперты «Лаборатории Касперского» заметили, что используемые злоумышленниками техники и инструменты очень похожи на те, что применялись в атаках китайскоговорящей группировки WinNTi. Однако полученной информации пока недостаточно для того, чтобы установить четкую связь между этой кибергруппировкой и бекдором в легальном ПО.

На текущий момент бекдор ShadowPad был активирован в Азиатско-Тихоокеанского регионе. Вместе с тем он может оставаться в неактивном состоянии во многих системах, особенно если компании не установили последнее обновление NetSarang и не имеют защитного решения, которое может обнаружить и вычистить вредоносный код.

«ShadowPad – пример того, насколько опасной и масштабной может быть атака на разработчиков программного обеспечения, которым доверяют пользователи во всем мире. С большой вероятностью подобный сценарий будет повторяться вновь и вновь. К счастью, компания NetSarang быстро отреагировала и выпустила жизненно необходимое обновление, предотвратив сотни инцидентов кражи данных, – рассказывает Игорь Суменков, антивирусный эксперт «Лаборатории Касперского». – Атака ShadowPad показала, что сегодня компании обязательно должны использовать продвинутые защитные технологии, которые способны оперативно выявлять аномальную активность в сети и детектировать даже те зловреды, которые злоумышленники спрятали в легальном ПО».

Следующая главная новость »

Кибератака на завод: как избежать простоя и убытков?
Регистрируйтесь на эфир!

Екатерина Быстрова 15 Июня 2026 - 18:58

Трояны Шпионские программы Программы слежения Домашние пользователи Лаборатория Касперского

Каждое третье заражение стилером происходит сразу после скачивания файла

Злоумышленникам всё чаще не приходится взламывать системы или искать сложные уязвимости. Достаточно убедить человека скачать и запустить файл. К такому выводу пришли специалисты Kaspersky Digital Footprint Intelligence.

Эксперты проанализировали более 5 миллионов логов стилеров за 2025 год. Это архивы с украденными данными — паролями, файлами cookie, системной информацией и другими сведениями, которые похищают вредоносные программы.

Оказалось, что в 35% случаев заражение начиналось буквально через несколько секунд после загрузки файла из интернета. Стилер запускался из временной папки Windows C:\Users\AppData\Local\Temp, куда браузеры обычно помещают скачанные файлы до их сохранения пользователем.

Проще говоря, человек скачивал программу, активатор, мод для игры или другой файл из сомнительного источника и сам запускал вредоносное приложение.

Ещё в 32% случаев зловреды обнаруживались в каталоге Microsoft .NET Framework. По словам исследователей, это может указывать на использование более сложных техник маскировки, включая внедрение кода в легитимные процессы и подход Living off the Land, когда для вредоносных действий используются штатные инструменты Windows. Такое поведение характерно, например, для стилера Lumma.

Главными источниками заражения остаются пиратское ПО, нелегальные активаторы и файлы из недоверенных источников. Нередко злоумышленники даже убеждают пользователей самостоятельно отключить антивирус или другие защитные механизмы перед запуском программы.

По данным Kaspersky, в 2025 году количество заражений стилерами выросло на 59% по сравнению с предыдущим годом.

«Более чем в трети случаев стилеры запускались сразу после скачивания. Это показывает, что злоумышленникам часто не нужны сложные методы атаки — достаточно убедить пользователя открыть файл», — отметил эксперт Kaspersky Digital Footprint Intelligence Сергей Щербель.

Исследование ещё раз подтверждает старое правило кибербезопасности: самым уязвимым местом в системе зачастую остаётся не операционная система и не программа, а человек, который нажимает кнопку «Запустить».

Кибератака на завод: как избежать простоя и убытков?
Регистрируйтесь на эфир!