Российская группа хакеров APT28 атакует экспертов по кибербезопасности

Олег Иванов 24 Октября 2017 - 18:39

Домашние пользователи

Общее

Cisco

Фишинг

Таргетированные атаки

...

Российская группа хакеров APT28 атакует экспертов по кибербезопасности

Исследователи Cisco Talos обнаружили российскую группу кибершпионов, атакующую пользователей с помощью фишинга, содержащего документы, ссылающиеся на конференцию НАТО по кибербезопасности.

Эксперты считают, что за атакой стоит российская группа APT28, также известная как Pawn Storm, Fancy Bear, Sofacy, Group 74, Sednit, Tsar Team и Strontium. Их целью являются люди, интересующиеся конференцией CyCon по кибербезопасности, организованной НАТО.

APT28, которые, как предполагают эксперты, спонсируются государством, использовали документы, содержащие контент, скопированный с официального сайта CyCon в качестве приманки. Злоумышленники явно атаковали экспертов в области кибербезопасности.

«Нам удалось обнаружить новую вредоносную кампанию группы APT28. Интересно, что документ, использующийся в качестве приманки, является поддельным флаером, связанным с конференцией по кибербезопасности CyCon, организованной НАТО. Из-за характера этого документа мы предполагаем, что эта кампания нацелена на людей, интересующихся кибербезопасностью», - говорится в отчете, опубликованном Cisco Talos.

Методика использования конференций по кибербезопасности в качестве приманки в операциях киберпреступников хорошо известна, другие хакеры в прошлом использовали такую же тактику. В прошлом году китайская кибер-шпионская группа, известная как Lotus Blossom, пыталась атаковать пользователей с помощью поддельного приглашения на саммит по кибербезопасности от Palo Alto Networks.

В последней кампании злоумышленники не использовали уязвимости нулевого дня, они полагались на документы Office, содержащие сценарии VBA, используемые для доставки нового варианта Seduploader (также известного как бэкдор GAMEFISH, Sednit, JHUHUGIT и Sofacy).

Seduploader также использовался и в других атаках против НАТО. По словам экспертов, вредонос Seduploader много лет использовался группой APT28, состоит он из двух файлов: дроппера и самой вредоносной нагрузки.

Информация об обнаруженной атаке была опубликована на сайте центра киберзащиты НАТО:

«Информация с нашего сайта была использована с целью заражения пользователей вредоносной программой. Это тот тип атак, когда легитимная информация используется для привлечения внимания жертв».

Следующая главная новость »

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »

Екатерина Быстрова 11 Февраля 2026 - 18:23

Windows Staffcop Enterprise Корпорации Системы защиты от утечек конфиденциальной информации (DLP)

Staffcop добавил файловый сканер и перехват данных в MAX на Windows

В Staffcop (входит в экосистему «Контур») вышло обновление, которое добавляет больше инструментов для расследования инцидентов и профилактики утечек. Самое важное нововведение — файловый сканер для инвентаризации данных и перехват переписки в MAX на Windows.

Новый файловый сканер собирает информацию о файлах на рабочих станциях и в хранилищах, анализирует их содержимое и передаёт результаты на сервер.

Данные автоматически раскладываются по категориям, после чего с ними проще работать: настраивать доступы, политики, назначать метки. Для ИБ-специалистов добавили удобные фильтры и поиск — это упрощает разбор результатов и помогает быстрее находить чувствительные данные и потенциальные риски.

Кроме того, Staffcop теперь учитывает метки, которые проставляет «Спектр.Маркер», и использует их в метаданных файлов. Это позволяет точнее применять политики и ускоряет расследование инцидентов: информация из двух систем анализируется автоматически.

В части контроля коммуникаций добавлен перехват переписки в мессенджере MAX на Windows, а также WebWhatsApp на Linux. Это даёт возможность анализировать сообщения, фиксировать нарушения и выявлять признаки передачи защищаемой информации через несанкционированные каналы.

Разработчики также переработали обработку данных: ускорили извлечение текста и выделение слов-триггеров. Новый механизм спуллера распределяет нагрузку при приёме данных от агентов, что снижает риск просадок производительности и ошибок при работе с большими объёмами информации.

Появился обновлённый драйвер контроля клавиатуры — он позволяет надёжнее фиксировать ввод паролей при входе в систему. Это расширяет возможности контроля рабочих станций и помогает выявлять слабые пароли, несанкционированные учётные записи и попытки доступа.

Обновили и утилиту удалённой установки агентов: теперь можно гибче задавать правила установки и исключения, что особенно актуально для сложной инфраструктуры. Добавлена поддержка Rutoken на Windows для контроля использования токенов, а в интерфейсе появилась информация о сроке окончания технической поддержки сервера — чтобы администраторам было проще планировать обновления и продление поддержки.

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »