Российские хакеры Turla используют новые варианты трояна KopiLuwak

Российские хакеры Turla используют новые варианты трояна KopiLuwak

Эксперты антивирусной компании «Лаборатория Касперского» предупреждают, что российская киберпреступная группировка Turla использует новые варианты трояна KopiLuwak. Атаки с участием новых образцов этого вредоноса фиксируются с начала года.

Turla также известна ИБ-сообществу под именами Venomous Bear, Waterbug и Uroboros. Впервые исследователи наткнулись на деятельность этой группы в 2014 году, однако принято считать, что корни группировки уходят аж в середину 00-х.

Хакеров интересуют в основном связанные с правительством цели, которые находятся на Среднем Востоке, в США, Европе и странах бывшего СССР. В этом году Turla занялась обновлением своих инструментов, используя уже знакомый экспертам стиль программирования.

В отчете «Лаборатории Касперского» утверждается, что Turla создала .NET- и PowerShell-версии трояна KopiLuwak. Эти образцы вредоносной программы активно использовались в кибератаках с начала этого года.

Атаки начинаются с зараженных установщиков легитимного софта, после чего в дело вступает дроппер, который может установить вредоносную составляющую по любому локальному пути, а также обеспечить ее регулярный запуск — для этого в системе создается задача, которая запускается каждые 30 минут.

Сам троян может как загружать файлы на атакованный компьютер, так и выкачивать любые файлы с компьютера на сервер злоумышленников. Само собой, вредонос способен получать команды от C&C-сервера.

PowerShell-версия вредоносной программы, помимо всех вышеописанных возможностей, также способна снимать скриншоты.

«Вредоносная программа использует системный реестр Windows для хранения зашифрованных данных, которые впоследствии используются, чтобы минимизировать шанс детектирования на компьютере жертвы», — пишут эксперты «Лаборатории Касперского».

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

В Zoom нашли две уязвимости, получивших 7,3 балла по шкале CVSS

Исследователи из Google Project Zero сообщили об очередных проблемах в безопасности, выявленных в Zoom, популярном софте для видеоконференций. Эксперты отметили, что уязвимости создают вектор атаки на пользователей этого сервиса.

Всего специалисты нашли две бреши, затрагивающие клиент Zoom для операционных систем Windows, macOS, Linux, iOS и Android. Первому багу присвоили идентификатор CVE-2021-34423 и 7,3 балла по шкале CVSS (переполнение буфера).

«Обнаруженная возможность переполнения буфера позволяет условному атакующему вызвать сбой в работе приложения или службы. В определённых сценариях эксплуатации злоумышленник сможет выполнить произвольный код», — гласит официальное сообщение представителей Zoom.

Другая уязвимость под идентификатором CVE-2021-34424 получила те же 7,3 балла. Здесь проблема уже заключается в повреждении памяти. Разработчики Zoom описывают её следующим образом:

«Предположительно, данная брешь открывает доступ к памяти и позволяет извлечь конфиденциальную информацию».

Список затронутых версий клиента Zoom приводим ниже:

  • Zoom Client for Meetings (для Android, iOS, Linux, macOS и Windows) версии до 5.8.4
  • Zoom Client for Meetings для Blackberry (для Android и iOS) версии до 5.8.1
  • Zoom Client for Meetings для intune (для Android и iOS) версии до 5.8.4
  • Zoom Client for Meetings для Chrome OS версии до 5.0.1
  • Zoom Rooms for Conference Room (для Android, AndroidBali, macOS и Windows) версии до 5.8.3
  • Controllers for Zoom Rooms (для Android, iOS и Windows) версии до 5.8.3
  • Zoom VDI версии до 5.8.4
  • Zoom Meeting SDK для Android версии до 5.7.6.1922
  • Zoom Meeting SDK для iOS версии до 5.7.6.1082
  • Zoom Meeting SDK для macOS версии до 5.7.6.1340
  • Zoom Meeting SDK для Windows версии до 5.7.6.1081
  • Zoom Video SDK (для Android, iOS, macOS и Windows) версии до 1.1.2
  • Zoom On-Premise Meeting Connector Controller версии до 4.8.12.20211115
  • Zoom On-Premise Meeting Connector MMR версии до 4.8.12.20211115
  • Zoom On-Premise Recording Connector версии до 5.1.0.65.20211116
  • Zoom On-Premise Virtual Room Connector версии до 4.4.7266.20211117
  • Zoom On-Premise Virtual Room Connector Load Balancer версии до 2.5.5692.20211117
  • Zoom Hybrid Zproxy версии до 1.0.1058.20211116
  • Zoom Hybrid MMR версии до 4.6.20211116.131_x86-64
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru