Кибероперацию DNSpionage дополнили стадией разведки и новым зловредом

Олег Иванов 24 Апреля 2019 - 10:31

Домашние пользователи

...

Вредоносная кампания DNSpionage дополнилась новым этапом разведки, что указывает на то, что киберпреступники стали тщательнее подходить к выбору своих целей. Также было зафиксировано использование нового вида вредоносной программы, которая получила имя Karkoff.

Karkoff используется злоумышленниками для удаленного выполнения кода на скомпрометированных машинах. А новая стадия разведки также помогает избежать исследования вредоносного семпла экспертами в области кибербезопасности.

Анализом вредоносной кампании DNSpionage занимались специалисты компании Cisco Talos. Именно они обнаружили, что преступники используют инструмент для удаленного доступа, чтобы поддерживать связь с командным сервером C&C.

Помимо этого, группа киберпреступников использует Mimikatz для извлечения учетных данных, различные инструменты для администрирования, целый набор хакерских инструментов, а также знаменитую программу Putty.

«Вредонос попадает на компьютер в виде файла a.bat, затем он выполняет команду WMI и получает список всех запущенных в системе процессов», — объясняют в Cisco Talos новую стадию разведки, которую теперь практикуют атакующие.

«Такой подход вкупе с запросом NetWkstaGetInfo() API позволяет собрать все данные об окружении и сгенерировать цифровой отпечаток компьютера жертвы».

Злоумышленники также усовершенствовали возможность вредоноса скрывать свою активность, разделив запросы API.

В ходе атак DNSpionage на атакуемом компьютере проверяется наличие антивирусных продуктов от Avira и Avast. В случае обнаружения одного из этих антивирусов, вредонос подстраивается под него, вырабатывая специальное поведение.

Позже эксперты зафиксировали участие во вредоносной кампании новой вредоносной программы, основанной на .NET, — Karkoff.

«Этот вредонос отличается малым размером в сравнении со схожими семплами — он достаточно легковесен. Karkoff позволяет атакующим удаленно выполнять команды, получаемые от C&C-серврера. Его код никак не обфусцирован, то есть его можно легко дизассемблировать», — говорят специалисты.

Следующая главная новость »

В прямом эфире подведем итоги года для рынка информационных технологий. Присоединяйтесь! »

Яков Шпунт 29 Декабря 2025 - 17:34

Сбои программ Общее

ВТБ заявил о нормализации работы онлайн-сервисов

Банк ВТБ сообщил об устранении неполадок в работе сервиса «ВТБ Онлайн». Это произошло примерно через два часа после резкого всплеска жалоб пользователей на работу цифровых сервисов банка.

О нормализации работы сообщил ТАСС со ссылкой на пресс-службу ВТБ. Проблемы с онлайн-сервисами и карточными платежами начались около 13:00 по московскому времени и продолжались порядка двух часов.

«Сегодня днем часть наших клиентов могла столкнуться с ограничениями в работе “ВТБ Онлайн”, а также банкоматов и банковских карт. В настоящий момент все системы работают штатно, неполадки устранены. В ближайшее время по отклоненным операциям пользователям автоматически будут возвращены средства», — говорится в сообщении пресс-службы банка.

В ВТБ также принесли извинения за доставленные неудобства и отметили, что технические службы банка работают над тем, чтобы возможные сбои устранялись максимально оперативно. О причинах и характере произошедших проблем в банке не сообщили.

Ранее сервисы мониторинга фиксировали сообщения о сбоях в работе Сбербанка, Т-Банка и системы «Честный знак». Однако пресс-службы Сбербанка и Т-Банка опровергли информацию о проблемах в своих сервисах.

«Система маркировки работает стабильно. Актуальная информация о функционировании системы публикуется в открытом доступе на сайте Честныйзнак.рф в разделе “Пульс маркировки” — там можно самостоятельно отслеживать показатели и убедиться, что все процессы идут штатно», — сообщили в пресс-службе компании «Центр развития перспективных технологий», оператора системы «Честный знак».

В прямом эфире подведем итоги года для рынка информационных технологий. Присоединяйтесь! »