Нефтяную отрасль США атакуют обфусцированным трояном Adwind

Нефтяную отрасль США атакуют обфусцированным трояном Adwind

Нефтяную отрасль США атакуют обфусцированным трояном Adwind

Киберпреступники атакуют нефтяную отрасль США трояном Adwind, обеспечивающим удалённый доступ. Используемый в этих атаках образец задействует многослойную обфускацию, что может свидетельствовать о серьёзном подходе злоумышленников.

Adwind доставляют жертвам посредством электронных писем, содержащих вредоносное вложение или ссылку на загрузку зловреда. Троян также известен под именами: jRAT, AlienSpy, JSocket и Sockrat.

Adwind способен заразить наиболее востребованные операционные системы (Windows, Linux, macOS). Разработчики трояна сдают его в аренду по схеме malware-as-a-service (MaaS).

Стоит учитывать, что данная вредоносная программа может обходить некоторые антивирусные продукты. Однако различные песочницы и поведенческие анализаторы должны успешно детектировать и блокировать Adwind.

«Чаще всего для доставки Adwind используются фишинговые письма. В процессе анализа этой кампании нам не удалось заполучить образцы писем. Зато мы извлекли JAR-семплы зловреда», — рассказывает исследователь компании Netskope Абхинав Сингх.

В общей сложности сотрудникам Netskope удалось выявить 20 файлов трояна. Большинство обнаруженных файлов имели разные расширения, которые помогали запутать жертв — злоумышленники явно пытались использовать известную функцию Windows, позволяющую скрывать расширение известных типов файлов.

Помимо этого, эксперты отметили, что образцы вредоноса используют многослойную обфускацию, существенно затрудняющую анализ файлов трояна.

После установки в системе Adwind пытается выйти на связь с командным сервером (C2). Установив подключение, троян начинает вредоносную активность.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В ГК Солар предложили меры против фрода: обмен, контроль, защита данных

На сессии «Цифровые мошенники. Киберреальность российской экономики» генеральный директор ГК «Солар» Игорь Ляпунов поговорил о том, почему фрод остаётся одной из самых устойчивых и сложных проблем цифровой среды.

Вместе с ним в обсуждении участвовали замглавы Минцифры Александр Шойтов, депутат Сергей Боярский и представители ИБ-отрасли.

Ляпунов отметил, что подход к борьбе с фродом пока напоминает лечение симптомов.

Тем временем кибермошенничество превратилось в огромный бизнес с оборотом около 160 миллиардов рублей.

«На той стороне — люди, которые работают, чтобы этот бизнес не закончился», — подчеркнул он.

По мнению спикера, важно не просто сдерживать атаки, а бить по их экономической основе, чтобы сделать такую деятельность попросту невыгодной.

Отдельно он указал на сложность ландшафта: в мошеннические схемы вовлечены сразу несколько отраслей — связь, банки, финтех.

«Всегда найдётся банк или оператор четвёртого эшелона, который ради прибыли обойдёт антифродовые меры», — пояснил Ляпунов.

По его словам, одна из ключевых проблем — постоянная эволюция фрода. Методы атак меняются каждый месяц, каналы — разные: СМС, мессенджеры, сайты. И каждый участник этой борьбы видит лишь небольшой кусок происходящего.

«Это задача, которую мы ещё не решали: подстраиваться под постоянно меняющийся профиль угроз. А нормативку каждые две недели мы точно не перепишем», — добавил он.

В качестве возможных решений Ляпунов предложил:

  • наладить полноценный информационный обмен между всеми участниками борьбы с фродом;
  • чётко разделить ответственность между всеми затронутыми отраслями;
  • сосредоточиться на предотвращении утечек данных, так как именно на их основе мошенники формируют списки жертв и улучшают свои схемы.

По мнению спикера, только комплексный подход и тесное сотрудничество между всеми участниками помогут переломить ситуацию.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru