Нефтяную отрасль США атакуют обфусцированным трояном Adwind

Олег Иванов 02 Октября 2019 - 13:17

...

Нефтяную отрасль США атакуют обфусцированным трояном Adwind

Киберпреступники атакуют нефтяную отрасль США трояном Adwind, обеспечивающим удалённый доступ. Используемый в этих атаках образец задействует многослойную обфускацию, что может свидетельствовать о серьёзном подходе злоумышленников.

Adwind доставляют жертвам посредством электронных писем, содержащих вредоносное вложение или ссылку на загрузку зловреда. Троян также известен под именами: jRAT, AlienSpy, JSocket и Sockrat.

Adwind способен заразить наиболее востребованные операционные системы (Windows, Linux, macOS). Разработчики трояна сдают его в аренду по схеме malware-as-a-service (MaaS).

Стоит учитывать, что данная вредоносная программа может обходить некоторые антивирусные продукты. Однако различные песочницы и поведенческие анализаторы должны успешно детектировать и блокировать Adwind.

«Чаще всего для доставки Adwind используются фишинговые письма. В процессе анализа этой кампании нам не удалось заполучить образцы писем. Зато мы извлекли JAR-семплы зловреда», — рассказывает исследователь компании Netskope Абхинав Сингх.

В общей сложности сотрудникам Netskope удалось выявить 20 файлов трояна. Большинство обнаруженных файлов имели разные расширения, которые помогали запутать жертв — злоумышленники явно пытались использовать известную функцию Windows, позволяющую скрывать расширение известных типов файлов.

Помимо этого, эксперты отметили, что образцы вредоноса используют многослойную обфускацию, существенно затрудняющую анализ файлов трояна.

После установки в системе Adwind пытается выйти на связь с командным сервером (C2). Установив подключение, троян начинает вредоносную активность.

Следующая главная новость »

Атаки на цепочку поставок: как защититься до компрометации?
Регистрируйтесь на эфир!

Яков Шпунт 22 Апреля 2026 - 11:50

Трояны Фишинг Целевые атаки Таргетированные атаки Корпорации Государство Лаборатория Касперского

Geo Likho провела более 200 атак на российские организации за семь месяцев

Новая группировка Geo Likho действует уже около семи месяцев. Она специализируется на кибершпионаже, а её основными целями являются российские организации, хотя отдельные случаи активности фиксировались и в других странах. Одной из отличительных особенностей группы называют использование уникальных вредоносных инструментов под каждую конкретную цель.

О новой кибергруппировке сообщил ТАСС со ссылкой на «Лабораторию Касперского». По данным компании, Geo Likho специализируется на кибершпионаже и в ходе атак стремится как можно дольше оставаться незамеченной в инфраструктуре жертвы.

Активность группировки продолжается уже около семи месяцев.

«Действия группы характеризуются тщательной подготовкой и ориентацией на конкретные страны: за последние семь месяцев злоумышленники провели более 200 атак в России. В 2025 году наблюдались отдельные заражения в Германии, Сербии, Гонконге — скорее всего случайные, поскольку почти все фишинговые письма и файлы-приманки были написаны на русском языке», – рассказал эксперт по кибербезопасности в «Лаборатории Касперского» Алексей Шульмин.

Для первоначального проникновения в инфраструктуру группировка использует целевой фишинг. В письмах злоумышленники размещают ссылку на якобы документы. Переход по ней запускает скрипт и инициирует процесс заражения.

Основной интерес для атакующих представляют офисные документы и изображения, хранящиеся на локальных, сетевых и съёмных дисках. Кроме того, злоумышленников интересуют журналы системных событий и снимки экрана.

Атаки на цепочку поставок: как защититься до компрометации?
Регистрируйтесь на эфир!