Иранские хакеры APT24 используют LinkedIn для доставки бэкдора

Иранские хакеры APT24 используют LinkedIn для доставки бэкдора

Иранские хакеры APT24 используют LinkedIn для доставки бэкдора

Киберпреступная группа APT24, деятельность которой связывают с иранским правительством, продолжает свои кампании шпионажа. Теперь злоумышленники используют LinkedIn для распространения вредоносной программы.

По словам специалистов FireEye, преступники представляются исследователем из Кембриджа и просят жертв вступить в их группу. Вместе с этим пользователям отправляется вредоносный xls-файл.

«В конце июня исследователи FireEye обнаружили фишинговую кампанию APT34. Мы выделили три основных отличия этой кибероперации», — говорится в отчете FireEye.

«Во-первых, злоумышленники представляются специалистами Кембриджа, чтобы завоевать доверие пользователей. Во-вторых, для доставки вредоносных документов используется деловая соцсеть LinkedIn. В-третьих, APT34 добавила в свой арсенал три новые вредоносные программы».

В ходе атак использовался также инструмент Pickpocket, предназначенный для кражи учетных данных из браузеров. Основные цели APT34 были из нефтяной, энергетической и газовой сфер, также преступники атаковали государственные организации.

Вредоносный документ ERFT-Details.xls использовался в качестве дроппера, а приманкой выступала возможность устроиться на работу в команду исследователей Кембриджа.

В конечной фазе на компьютер жертвы устанавливается бэкдор Tonedeaf, который связывается с командным сервером C&C при помощи запросов HTTP GET и POST. Вредонос поддерживает несколько команд, позволяющих собирать системную информацию, загружать и скачивать файлы и выполнять шелл-команды.

Напомним, что группа APT34 также известна под именами OilRig, HelixKitten и Greenbug.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

InfoWatch Traffic Monitor теперь защищает данные в мессенджере Frisbee

DLP-систему InfoWatch Traffic Monitor интегрировали с корпоративным мессенджером Frisbee. Этот шаг должен усилить контроль за передачей данных внутри компании и помочь предотвратить утечки.

Для взаимодействия двух систем в Frisbee добавили специальный сервис, который отслеживает весь поток сообщений и вложений.

InfoWatch Traffic Monitor анализирует передаваемую информацию и может выявлять нарушения — например, попытку переслать персональные данные или конфиденциальные файлы, будь то текст, документы, архивы или изображения.

Frisbee — это платформа, включающая мессенджер, видеозвонки и видеохостинг, которую можно развернуть на собственных серверах или в выбранном дата-центре.

Интеграция позволяет организациям следить за соблюдением политик информационной безопасности в переписке и при обмене файлами. Как отмечают представители компаний, утечки могут происходить не только умышленно, но и по невнимательности сотрудников — особенно в повседневной рабочей коммуникации.

Новое решение помогает вовремя замечать такие инциденты, не мешая при этом привычным бизнес-процессам.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru