Киберпреступная группа Patchwork обновила свой бэкдор Badnews
Главная » Новости
Ландшафт киберугроз 2025: реальные атаки, тренды и практические выводыКиберугрозы становятся сложнее, а человекоуправляемые атаки остаются одним из ключевых рисков для бизнеса. В новом отчете — актуальные тренды и наиболее критичные сценарии. Ключевые инсайты обсудим на вебинаре: какие угрозы сегодня определяют ландшафт ИБ и как повысить устойчивость бизнеса. Участвуйте онлайн или смотрите в записи — она будет доступна всем зарегистрированным.→ Зарегистрироваться на вебинар
Реклама, 18+. АО «Лаборатория Касперского», ИНН 7713140469

Киберпреступная группа Patchwork обновила свой бэкдор Badnews

Олег Иванов 13 Марта 2018 - 12:20
...
Киберпреступная группа Patchwork обновила свой бэкдор Badnews

Согласно отчету Palo Alto Networks, во вредоносных кампаниях киберпреступной группы Patchwork использовался эксплойт EPS и обновленный бэкдор. Сообщается, что Patchwork (также известна как Dropping Elephant или Chinastrats) действует с 2014 года.

Как сообщает Palo Alto Networks, атаки Patchwork, зафиксированные в последние несколько месяцев, были нацелены на объекты Индийского субконтинента. В этих кампаниях эксперты отменили использование обновленной вредоносной программы, получившей имя BADNEWS, доставляющейся пользователям с помощью вредоносных документов.

Вредонос предоставляет злоумышленникам полный контроль над зараженным компьютером, а также использует легитимные сторонние сайты в качестве командных центров (C&C). В новой версии BADNEWS наблюдаются измененные механизмы получения информации от командного центра, также изменения претерпела сама процедура связи.

В кибератаках использовались вредоносные документы со встроенными EPS-файлами, которые пытались эксплуатировать две уязвимости в Microsoft Office, а именно CVE-2015-2545 и CVE-2017-0261. В качестве приманки документы пытались заинтересовать пакистанские ядерные организации и военных.

При выполнении внедренного во вредоносные EPS-файлы shellcode на компьютер копируются три файла: VMwareCplLauncher.exe (легитимный подписанный исполняемый файл VMware для доставки пейлоада), vmtools.dll (модифицированная DLL для обеспечения загрузки вредоноса) и MSBuild.exe (сам бэкдор BADNEWS).

Первым делом выполняется VMwareCplLauncher.exe, затем загружается библиотека vmtools.dll, которая создает запланированную задачу для попытки запуска MSBuild.exe каждую минуту.

После запуска бэкдор устанавливает связь с C&C по HTTP, позволяя злоумышленникам загружать и выполнять файлы, похищать информацию на устройстве и снимать скриншоты.

В отличие от предыдущих версий новый вариант BADNEWS не сканирует USB-накопители на предмет наличия представляющих ценность документов.

«Киберпреступная группа Patchwork использует относительно новые эксплойты, а также постоянно модифицирует свой набор вредоносных программ. Это позволяет злоумышленникам успешно атаковать организации и отдельных лиц. В этих кампаниях, скорее всего, целью были пакистанская армия и министерство внутренних дел», — пишет Palo Alto.

Следующая главная новость »
AM LiveVulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!

Перед Пасхой мошенники запустили волну атак через открытки и чат-ботов
Яков Шпунт 09 Апреля 2026 - 09:16
ФишингМошенничествоОнлайн-мошенничество Домашние пользователи
Перед Пасхой мошенники запустили волну атак через открытки и чат-ботов

В преддверии Пасхи злоумышленники массово рассылают пасхальные открытки с фишинговыми ссылками или вредоносными вложениями. Чаще всего для этого используются мессенджеры. Такие сообщения могут сопровождаться предложениями поучаствовать в конкурсах, благотворительных акциях или купить куличи.

О росте активности мошенников сообщает РИА Новости со ссылкой на платформу «Мошеловка».

Вредоносные приложения также маскируются под трансляции богослужений и других церемоний, включая схождение Благодатного огня.

Встречаются и другие схемы мошенничества. Так, юрист, подполковник внутренней службы в отставке Елена Браун рассказала РИА Новости о схеме, связанной с якобы возможностью списания долгов:

«Такие сообщения поступают от злоумышленников через фальшивые банковские приложения или по телефону — для списания долга они просят граждан передать личные данные, коды из СМС или другую информацию».

Ещё одной распространённой формой мошенничества остаётся фишинг. В качестве повода для перехода на поддельную страницу злоумышленники используют предложения «поставить свечку онлайн» или «оставить записку за здравие».

Цель таких схем, как предупреждает юрист, — сбор персональных данных. Пасхальная тематика также используется при создании фальшивых сайтов магазинов и маркетплейсов.

Широко распространены, по словам Елены Браун, и псевдорозыгрыши в мессенджерах:

«Мошенники создают в Telegram чат-боты, предлагающие получить пасхальные подарки или премиум-подписку от имени Telegram, Roblox или маркетплейсов. Чтобы получить бонусы в виде „пасхальных яиц“, пользователям предлагают подписаться на сомнительные каналы „спонсоров“».

AM LiveVulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!
Android под защитой ИИ: Google заблокировала 1,75 млн приложений
Новость
Android под защитой ИИ: Google заблокировала 1,75 млн прилож...
В R-Vision SGRC появилась возможность управления операционными рисками
Новость
В R-Vision SGRC появилась возможность управления операционны...
ФНС ограничила доступ к онлайн-сервисам за рубежом из-за кибератак
Новость
ФНС ограничила доступ к онлайн-сервисам за рубежом из-за киб...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2026. Все права защищены.