Кибероперацию DNSpionage дополнили стадией разведки и новым зловредом

Олег Иванов 24 Апреля 2019 - 10:31

Домашние пользователи

...

Вредоносная кампания DNSpionage дополнилась новым этапом разведки, что указывает на то, что киберпреступники стали тщательнее подходить к выбору своих целей. Также было зафиксировано использование нового вида вредоносной программы, которая получила имя Karkoff.

Karkoff используется злоумышленниками для удаленного выполнения кода на скомпрометированных машинах. А новая стадия разведки также помогает избежать исследования вредоносного семпла экспертами в области кибербезопасности.

Анализом вредоносной кампании DNSpionage занимались специалисты компании Cisco Talos. Именно они обнаружили, что преступники используют инструмент для удаленного доступа, чтобы поддерживать связь с командным сервером C&C.

Помимо этого, группа киберпреступников использует Mimikatz для извлечения учетных данных, различные инструменты для администрирования, целый набор хакерских инструментов, а также знаменитую программу Putty.

«Вредонос попадает на компьютер в виде файла a.bat, затем он выполняет команду WMI и получает список всех запущенных в системе процессов», — объясняют в Cisco Talos новую стадию разведки, которую теперь практикуют атакующие.

«Такой подход вкупе с запросом NetWkstaGetInfo() API позволяет собрать все данные об окружении и сгенерировать цифровой отпечаток компьютера жертвы».

Злоумышленники также усовершенствовали возможность вредоноса скрывать свою активность, разделив запросы API.

В ходе атак DNSpionage на атакуемом компьютере проверяется наличие антивирусных продуктов от Avira и Avast. В случае обнаружения одного из этих антивирусов, вредонос подстраивается под него, вырабатывая специальное поведение.

Позже эксперты зафиксировали участие во вредоносной кампании новой вредоносной программы, основанной на .NET, — Karkoff.

«Этот вредонос отличается малым размером в сравнении со схожими семплами — он достаточно легковесен. Karkoff позволяет атакующим удаленно выполнять команды, получаемые от C&C-серврера. Его код никак не обфусцирован, то есть его можно легко дизассемблировать», — говорят специалисты.

Следующая главная новость »

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »

Яков Шпунт 12 Февраля 2026 - 13:51

GenAI (генеративный искусственный интеллект) Общее

Нейросеть для ЖКХ научилась материться в первый месяц обучения

Разработчикам отечественного голосового помощника для сферы ЖКХ пришлось «переучивать» систему после того, как в процессе обучения бот освоил ненормативную лексику. Этот случай наглядно показал, насколько критично качество данных, на которых обучаются нейросети.

О возникшей проблеме рассказал ТАСС президент Национального объединения организаций в сфере технологий информационного моделирования (НОТИМ) Михаил Викторов на Сибирском строительном форуме, который проходит в Новосибирске.

«Приведу забавный случай: нейросеть учится, и буквально уже в первый месяц разработчики обнаружили такую коллизию — нейросеть научилась мату. Как говорится, с кем поведёшься, от того и наберёшься. Эту проблему, конечно, пришлось устранять. Но это в том числе показатель активного взаимодействия с нашими гражданами», — рассказал Михаил Викторов.

При этом, по его словам, внедрение ботов позволило сократить число операторов кол-центров в 5–6 раз без потери качества обслуживания. Нейросетевые инструменты способны обрабатывать до 90% входящих обращений.

Уровень удовлетворённости качеством обслуживания, по оценке Викторова, составляет около 80%. Передавать звонки операторам целесообразно лишь в экстренных случаях — например, при аварийных ситуациях.

Эксперты ранее отмечали, что именно данные, на которых обучается ИИ, являются ключевой причиной появления некорректных или предвзятых ответов нейросетевых инструментов.

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »