Эксперты Kaspersky вышли на новый кастомный бэкдор APT-группы

Эксперты Kaspersky вышли на новый кастомный бэкдор APT-группы

Специалисты антивирусной компании «Лаборатория Касперского» зафиксировали новый бэкдор Titanium, используемый в реальных атаках киберпреступной группы Platinum. Эта вредоносная программа задействует сложные техники обхода детектирования.

О группировке Platinum впервые стало известно в 2016 году, когда на неё вышли сотрудники Microsoft. По словам американского техногиганта, группа ведёт свою деятельность как минимум с 2009 года.

На счету этих преступников атаки целевого фишинга на ряд провайдеров, государственных организаций, разведывательных служб и оборонительных структур. Судя по всему, злоумышленники совершенно не заинтересованы в деньгах.

В июне 2018 года эксперты «Лаборатории Касперского» расследовали атаки на государственные и военные структуры, расположенные на юге Азии. Эта кампания получила имя EasternRoppels, в ходе атак группа Platinum использовала стеганографию для сокрытия связи с командным сервером C&C.

Исследователи по праву считают Platinum одной из самых сложных киберпреступных групп. А теперь ещё в руках злоумышленников появился новый бэкдор Titanium, который пытается скрыть свою деятельность на каждом этапе заражения. Зловред маскируется под общеизвестные программы.

«В ходе изучения активности Platinum мы вышли на новый бэкдор, получивший имя Titanium (в честь пароля от одного из самораспаковывающихся архивов). Titanium представляет собой заключительный этап последовательности загрузок и установок вредоносного содержимого» — пишет «Лаборатория Касперского» в отчёте.

«На каждом этапе пенетрации зловред маскируется под стандартный софт: защитные программы, инструменты для записи звука или создания DVD и тому подобное».

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

В Project Zero рассказали о багах мессенджеров Signal, Facebook и Google

Натали Силванович, исследователь из Google Project Zero, рассказала о логических багах в мессенджерах Signal, Google Duo, Facebook Messenger, JioChat и Mocha. В случае успешной эксплуатации эти уязвимости позволяли передать аудио- и видеоданные с устройства жертвы на девайс атакующего, при этом не требовалось выполнять код.

На сегодняшний день разработчики мессенджеров уже выпустили обновления, устраняющие описанные Силванович бреши. Поэтому эксперт решилась опубликовать информацию о багах в своём блоге.

«Я изучила семь приложений для общения и обнаружила пять уязвимостей, позволяющих звонящему лицу заставить устройство пользователя, принимающего звонок, передать аудио- или видеоданные», — пишет Натали.

«Дальнейшее исследование показало ещё большее поле проблем безопасности, поскольку изученные приложения допускали передачу данных сразу несколькими способами. Большинство выявленных брешей позволяли установить соединение без всякого взаимодействия с жертвой».

Например, с помощью бага в Google Duo можно было спровоцировать утечку видеопакетов (разработчики устранили дыру в декабре 2020 года), а брешь Facebook Messenger позволяла установить голосовое соединение до того, как пользователь поднимет трубку (исправили в ноябре 2020 года).

Похожие проблемы безопасности Силванович обнаружила в мессенджерах JioChat и Mocha. Примечательно, что исследователь пыталась найти эти же уязвимости в Telegram и Viber, однако эти приложения продемонстрировали хороший уровень защищённости.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru