Кибершпионы Chafer используют обновленную версию бэкдора Remexi

Кибершпионы Chafer используют обновленную версию бэкдора Remexi

Кибершпионы Chafer используют обновленную версию бэкдора Remexi

Специалисты антивирусной компании «Лаборатория Касперского» обнаружили многочисленные атаки на иностранные дипломатические структуры в Иране. Примечательно, что злоумышленники использовали шпионскую программу, созданную непрофессионально.

По словам аналитиков, атаки проводятся с использованием обновлённого бэкдора Remexi, а также некоторых легитимных инструментов. Есть мнение, что бэкдор связан с киберпреступной группой Chafer, говорящей на фарси. Ранее она была замечена в киберслежке за людьми на Ближнем Востоке.

В ходе этих атак киберпреступники использовали улучшенную версию бэкдора Remexi, предназначенного для удалённого администрирования компьютера жертвы.

Бэкдор Remexi был впервые обнаружен в 2015 году, когда он использовался кибершпионской группой Chafer для незаконной слежки за отдельными лицами и рядом организаций по всему Ближнему Востоку. А нынешний вредонос имеет сходство с известными образцами Remexi, считают в «Лаборатории Касперского».

Зловред может выполнять команды удалённо и снимать скриншоты, а также красть данные браузера (включая учётные данные пользователя), данные авторизации и историю, и любой набранный текст (функции кейлоггера).

Украденные сведения эксфильтруются с помощью легитимного приложения Microsoft Background Intelligent Transfer Service (BITS) – компонента Windows, предназначенного для включения фоновых обновлений. Участие легитимного кода помогает злоумышленникам экономить время и ресурсы и усложнять атрибуцию.

«Часто за кампаниями по кибершпионажу стоят высококвалифицированные люди. Анализируя такие инциденты, можно увидеть достаточно продвинутые техники и сложные инструменты. В этом случае злоумышленники используют достаточно простую вредоносную программу».

«Безусловно, создано оно самостоятельно, и программисты у них есть. Однако, помимо этих разработок, они «творчески» используют уже существующие легитимные приложения, а не стремятся к сложной самостоятельной разработке».

«Не нужно считать их любителями, этот подход имеет с точки зрения злоумышленников свои преимущества (скорость разработки, сложность атрибуции), и подобные атаки вполне способны нанести значительный ущерб. Мы призываем организации защищать ценную информацию и системы ото всех видов угроз», – подчеркнул Денис Легезо, антивирусный эксперт «Лаборатории Касперского».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

VK WorkSpace теперь совместим с DLP-системой InfoWatch Traffic Monitor

DLP-система InfoWatch Traffic Monitor теперь совместима с on-premise-версией платформы VK WorkSpace. Это означает, что компании смогут контролировать, какие данные передаются в корпоративных письмах и мессенджере, и вовремя предотвращать утечки.

Интеграция охватывает основные каналы рабочей коммуникации — электронную почту и мессенджер VK Teams. DLP-система отслеживает текст, вложения и документы, выявляет потенциально конфиденциальную информацию и проверяет, нарушаются ли политики безопасности компании.

Если нарушение зафиксировано, система может автоматически заблокировать отправку сообщения, ограничить доступ к файлам и уведомить ИБ-специалистов.

Почта, работающая в составе VK WorkSpace, тоже подключается к DLP-системе. Есть несколько способов настройки: можно перенаправлять почтовый трафик через SMTP или использовать скрытую копию (BCC).

Интеграция настраивается через административный интерфейс — достаточно указать адрес сервера или почтового ящика DLP. Кроме того, защиту трафика на рабочих устройствах обеспечивает установленный агент InfoWatch.

Как подчёркивают в обеих компаниях, эта интеграция — ответ на запросы бизнеса и госсектора на усиление контроля за утечками и работу в полностью российских ИТ-средах.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru