Преступники используют DoublePulsar и EternalBlue для установки майнера

Преступники используют DoublePulsar и EternalBlue для установки майнера

Преступники используют DoublePulsar и EternalBlue для установки майнера

В новой вредоносной кампании злоумышленники используют инструменты АНБ США — бэкдор DoublePulsar и эксплойт EternalBlue. Эти инструменты помогают киберпреступникам устанавливать вредоносный майнер в корпоративных сетях.

Киберпреступную операцию проанализировали эксперты компании Symantec, которые дали ей имя Beapy. Ранее о Beapy также сообщали компании Qihoo 360 и Trend Micro, однако Symantec чуть больше углубилась в детали.

Первые признаки вредоносной операции Beapy были зафиксированы в январе 2019 года. Уже тогда стало понятно, что злоумышленники предпочитают атаковать корпоративный сектор — 98% жертв составляли именно предприятия.

Атака начиналась с фишингового письма, содержащего документ Excel, который в случае открытия скачивал в систему DoublePulsar. Далее у преступников открывалась возможность использовать эксплойт EternalBlue для атак на протокол Microsoft Windows Server Message Block (SMB). В результате атакующие получали возможность удаленно выполнить код.

Далее вредонос связывался с командным сервером C&C, после чего в ход шли скрипты PowerShells, а потом, уже как кульминация, — установка на зараженный компьютер вредоносной программы-майнера.

EternalBlue также использовался для заражения остальных компьютеров в корпоративной сети.

Помимо эксплойта для SMB, кампания Beapy также рассчитывала на инструмент Mimikatz, который может извлекать пароли Windows. В случае его использования зловред мог распространяться и на пропатченные компьютеры.

В Symantec также рассказали, что злоумышленники пытались использовать эксплойты для уязвимости CVE-2017-5638 в Apache Struts, CVE-2017-12615 в Apache Tomcat и CVE-2017-10271 в Oracle WebLogic Server. Таким образом, преступники атаковали и веб-серверы.

Напомним, что специалист в области безопасности Шон Диллон, работающий в RiskSence, разработал PoC-бэкдор, на создание которого его вдохновили инструменты АНБ США, слитые в Сеть весной 2017 года. Бэкдор получил имя SMBdoor.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Правительство приостановило работу над сбором за зарубежное ПО

Проработка инициативы Минцифры о введении сбора за использование зарубежного программного обеспечения приостановлена. Главной причиной стали сложности с разработкой механизма и согласованием законопроекта с другими ведомствами. Тем не менее в министерстве подчёркивают, что работа над инициативой будет продолжена.

Идею взимать сбор за использование иностранного ПО впервые озвучил премьер-министр Михаил Мишустин. Предполагалось, что собранные средства пойдут на поддержку российских разработчиков.

В мае 2024 года о подготовке соответствующего законопроекта сообщил министр цифрового развития, связи и массовых коммуникаций Максут Шадаев. По его словам, документ планировалось внести в Госдуму в сентябре 2024 года. Инициатива касалась исключительно крупного бизнеса.

О приостановке работы над законопроектом сообщил источник «Коммерсанта» в Минцифры. Основной проблемой стала сложность реализации. В частности, неясным остаётся механизм выявления использования зарубежного ПО, а также слишком запутанным оказался расчёт размера сбора для разных классов программ.

Кроме того, инициатива не получила поддержки со стороны Федеральной налоговой службы и Министерства финансов. Резкую критику она вызвала и у отраслевых объединений — «Руссофта» и Ассоциации разработчиков программных продуктов (АРПП) «Отечественный софт».

«Это стало бы серьёзным препятствием на пути к достижению технологического суверенитета страны. Инициатива сложна в реализации и администрировании, а также может привести к риску внеплановых проверок, направленных на выявление использования зарубежного ПО», — прокомментировал исполнительный директор АРПП «Отечественный софт» Ренат Лашин.

По его мнению, закон фактически стал бы индульгенцией на нелегальное использование иностранного софта и, соответственно, затруднил бы внедрение отечественных решений.

Партнёр технологической практики «ТеДо» Максим Иванов отметил, что у бизнеса нет острой необходимости в замене зарубежных программ, поскольку они продолжают работать. Единственное затруднение — отсутствие официальной поддержки, которую, впрочем, компенсируют российские интеграторы и компании, созданные бывшими сотрудниками представительств иностранных вендоров.

В ряде сегментов доля иностранного ПО остаётся крайне высокой. Руководитель практики «Стратегия» «Рексофт Консалтинг» Александр Чугунов привёл пример:

«Программное обеспечение Autodesk давно и широко используется проектировщиками и де-факто стало отраслевым стандартом. В строительном проектировании его доля достигает 90%».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru