Загадочный вредонос AcidBox атаковал две российские организации

Загадочный вредонос AcidBox атаковал две российские организации

Некий загадочный вредонос фигурирует в целевых кибератаках и использует при этом эксплойт, который специалисты ассоциируют с операциями группировки Turla. Новую угрозу первыми заметили исследователи из Palo Alto Networks.

Обычно киберпреступная группа Turla в представлении западных экспертов в области безопасности связана с деятельностью ФСБ России. У группировки есть и другие имена: Waterbug, Venomous Bear и KRYPTON.

Turla была первой, кому удалось использовать драйвер стороннего устройства для отключения защитной функции Driver Signature Enforcement (DSE), представленной в Windows Vista. Напомним, что задача DSE — не допустить загрузки неподписанных драйверов.

Задействованную Turla уязвимость, получившую идентификатор CVE-2008-3431, начали связывать с APT-группой. Именно эта брешь в драйвере VirtualBox (VBoxDrv.sys v1.6.2) позволила злоумышленникам деактивировать DSE.

Теперь специалисты компании Palo Alto Networks сообщили об эксплуатации той же самой уязвимости в новых атаках. Однако на этот раз стоящие за кампанией операторы не связаны с Turla, подчеркнули исследователи.

В ходе новых операций киберпреступники атаковали две российские организации, которые, судя по всему, даже не подозревали о наличии непропатченной уязвимости в драйвере VBoxDrv.sys.

«Поскольку мы не нашли других жертв данной кампании, можно сделать вывод, что эта вредоносная программа весьма специфична — используется исключительно в целевых кибератаках», — объясняет команда Palo Alto Networks.

Специалисты присвоили ранее неисследованному семейству зловредов имя AcidBox. Это сложный софт, над которым явно трудились профессионалы. Есть также предположения, что AcidBox является лишь частью некоего большего набора инструментов для взлома.

Эксперты предполагают, что стоящая за AcidBox группа до сих пор активна, а это значит, что новый целевые атаки могут в любой момент возобновиться.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

ИГИЛ продвигало мошенническую схему с масками через Facebook

Министерство юстиции США выяснило, что ИГИЛ (запрещённая в России террористическая организация) использовала на страницах Facebook мошеннически схему, нацеленную на нуждающихся в защитных масках людей и медицинских учреждений.

Речь идёт об онлайн-магазине FaceMaskCenter[.]com, владельцы которого убеждают людей в том, что у них есть сотни тысяч масок N95 (класс защиты FFP2).

Как выяснил впоследствии Минюст США, маски совершенно не соответствовали заявленному классу защиты. Более того, онлайн-магазином FaceMaskCenter управлял известный посредник ИГИЛ — Мурат Какар.

Террористическая группировка использовала в общей сложности четыре страницы на площадке Facebook (некоторые из них функционируют по сей день). По словам представителей Минюста, с помощью соцсети Какар пытался продать сто тысяч масок некоему американскому клиенту.

 

Неназванный покупатель якобы хотел передать средства индивидуальной защиты домам престарелых, больницам и пожарным частям.

Оказалось, что FaceMaskCenter действовал с 1996 года. По понятным причинам в период пика пандемии коронавирусной инфекции COVID-19 продажи проекта ИГИЛ взлетели. Однако спецслужбы США всё равно добились закрытия FaceMaskCenter.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru