Кибершпионы Chafer используют обновленную версию бэкдора Remexi

Кибершпионы Chafer используют обновленную версию бэкдора Remexi

Кибершпионы Chafer используют обновленную версию бэкдора Remexi

Специалисты антивирусной компании «Лаборатория Касперского» обнаружили многочисленные атаки на иностранные дипломатические структуры в Иране. Примечательно, что злоумышленники использовали шпионскую программу, созданную непрофессионально.

По словам аналитиков, атаки проводятся с использованием обновлённого бэкдора Remexi, а также некоторых легитимных инструментов. Есть мнение, что бэкдор связан с киберпреступной группой Chafer, говорящей на фарси. Ранее она была замечена в киберслежке за людьми на Ближнем Востоке.

В ходе этих атак киберпреступники использовали улучшенную версию бэкдора Remexi, предназначенного для удалённого администрирования компьютера жертвы.

Бэкдор Remexi был впервые обнаружен в 2015 году, когда он использовался кибершпионской группой Chafer для незаконной слежки за отдельными лицами и рядом организаций по всему Ближнему Востоку. А нынешний вредонос имеет сходство с известными образцами Remexi, считают в «Лаборатории Касперского».

Зловред может выполнять команды удалённо и снимать скриншоты, а также красть данные браузера (включая учётные данные пользователя), данные авторизации и историю, и любой набранный текст (функции кейлоггера).

Украденные сведения эксфильтруются с помощью легитимного приложения Microsoft Background Intelligent Transfer Service (BITS) – компонента Windows, предназначенного для включения фоновых обновлений. Участие легитимного кода помогает злоумышленникам экономить время и ресурсы и усложнять атрибуцию.

«Часто за кампаниями по кибершпионажу стоят высококвалифицированные люди. Анализируя такие инциденты, можно увидеть достаточно продвинутые техники и сложные инструменты. В этом случае злоумышленники используют достаточно простую вредоносную программу».

«Безусловно, создано оно самостоятельно, и программисты у них есть. Однако, помимо этих разработок, они «творчески» используют уже существующие легитимные приложения, а не стремятся к сложной самостоятельной разработке».

«Не нужно считать их любителями, этот подход имеет с точки зрения злоумышленников свои преимущества (скорость разработки, сложность атрибуции), и подобные атаки вполне способны нанести значительный ущерб. Мы призываем организации защищать ценную информацию и системы ото всех видов угроз», – подчеркнул Денис Легезо, антивирусный эксперт «Лаборатории Касперского».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Positive Technologies показала решение для защиты открытой АСУ ТП

Компания Positive Technologies представила кросс-платформенное решение по кибербезопасности для национальной открытой платформы промышленной автоматизации. Демонстрация прошла в Нижнем Новгороде на втором всероссийском форуме «Промышленная автоматизация: переход на открытую АСУ ТП».

Работа над проектом велась более трёх лет в рамках межотраслевой рабочей группы при Минпромторге России, в которую вошли представители энергетики, металлургии, нефтегаза, химической промышленности, поставщики оборудования и интеграторы.

Прототип открытой платформы АСУ ТП впервые показали на форуме ЦИПР летом 2025 года. Сейчас представлена её первая действующая версия, дополненная новыми программными и аппаратными компонентами российских разработчиков. Это позволило расширить число поддерживаемых технологических процессов и продемонстрировать возможности применения открытых стандартов в разных отраслях.

Заместитель министра промышленности и торговли РФ Василий Шпак отметил, что рынок систем промышленной автоматизации в России активно развивается, а сотрудничество компаний помогает вырабатывать единые подходы и стандарты. По его словам, отечественные технологии уже позволяют создавать конкурентоспособные решения, обеспечивающие независимость и безопасность предприятий.

На совместном стенде форума участники показали, как современные технологии позволяют строить гибкие и защищённые системы управления, сочетающие новые и уже существующие решения. В состав платформы входят программные контроллеры, SCADA-системы, шлюзы-конвертеры и встроенные средства кибербезопасности. Все элементы соответствуют принципам открытых АСУ ТП — совместимости, взаимозаменяемости и защищённости данных.

Руководитель практики промышленной кибербезопасности Positive Technologies Дмитрий Даренский отметил, что представленная версия платформы уже готова к внедрению и включает поддержку цифровых двойников и имитационных моделей. Разработанное решение по кибербезопасности можно применять в кросс-платформенных системах автоматизации, использующих открытые протоколы и компоненты разных производителей.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru