Загадочный вредонос AcidBox атаковал две российские организации
Главная » Новости

Загадочный вредонос AcidBox атаковал две российские организации

Екатерина Быстрова 19 Июня 2020 - 16:25
...
Загадочный вредонос AcidBox атаковал две российские организации

Некий загадочный вредонос фигурирует в целевых кибератаках и использует при этом эксплойт, который специалисты ассоциируют с операциями группировки Turla. Новую угрозу первыми заметили исследователи из Palo Alto Networks.

Обычно киберпреступная группа Turla в представлении западных экспертов в области безопасности связана с деятельностью ФСБ России. У группировки есть и другие имена: Waterbug, Venomous Bear и KRYPTON.

Turla была первой, кому удалось использовать драйвер стороннего устройства для отключения защитной функции Driver Signature Enforcement (DSE), представленной в Windows Vista. Напомним, что задача DSE — не допустить загрузки неподписанных драйверов.

Задействованную Turla уязвимость, получившую идентификатор CVE-2008-3431, начали связывать с APT-группой. Именно эта брешь в драйвере VirtualBox (VBoxDrv.sys v1.6.2) позволила злоумышленникам деактивировать DSE.

Теперь специалисты компании Palo Alto Networks сообщили об эксплуатации той же самой уязвимости в новых атаках. Однако на этот раз стоящие за кампанией операторы не связаны с Turla, подчеркнули исследователи.

В ходе новых операций киберпреступники атаковали две российские организации, которые, судя по всему, даже не подозревали о наличии непропатченной уязвимости в драйвере VBoxDrv.sys.

«Поскольку мы не нашли других жертв данной кампании, можно сделать вывод, что эта вредоносная программа весьма специфична — используется исключительно в целевых кибератаках», — объясняет команда Palo Alto Networks.

Специалисты присвоили ранее неисследованному семейству зловредов имя AcidBox. Это сложный софт, над которым явно трудились профессионалы. Есть также предположения, что AcidBox является лишь частью некоего большего набора инструментов для взлома.

Эксперты предполагают, что стоящая за AcidBox группа до сих пор активна, а это значит, что новый целевые атаки могут в любой момент возобновиться.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Вредонос под видом мода к Minecraft украл данные 1500 игроков
Екатерина Быстрова 18 Июня 2025 - 17:47
ТрояныУтечки информацииУмышленные утечки информацииКража данных Домашние пользователи
Вредонос под видом мода к Minecraft украл данные 1500 игроков

Если вы скачиваете моды к Minecraft с GitHub — самое время быть осторожным. Исследователи из Check Point обнаружили новую многоступенчатую вредоносную кампанию, нацеленную именно на игроков этой игры.

Всё начинается с якобы безобидного мода, а заканчивается кражей паролей, токенов и данных из криптокошельков.

Злоумышленники распространяют вредонос под видом модов под названиями Oringo и Taunahi — это так называемые «чит-скрипты». Работают они только в среде Minecraft, потому что написаны на Java и запускаются, если игра установлена.

Заражение происходит в несколько этапов:

  1. Игрок сам копирует вредоносный JAR-файл в папку с модами.
  2. При запуске Minecraft этот файл загружается вместе с остальными модами.
  3. Он скачивает второй этап заражения — ещё один JAR, который, в свою очередь, вытягивает .NET-программу-крадущую (инфостилер).

Причём вся передача команд и ссылок завуалирована — используется Pastebin с зашифрованным IP-адресом сервера.

Что может этот зловред?

Очень многое. После загрузки финального компонента начинается сбор:

  • токенов Discord, Minecraft, Telegram;
  • логинов и паролей из браузеров;
  • данных криптокошельков;
  • файлов с компьютера;
  • данных из приложений вроде Steam и FileZilla;
  • снимков экрана, буфера обмена и списка запущенных процессов.

Всё это отправляется обратно через Discord Webhook.

Кто за этим стоит?

Исследователи подозревают, что за атакой стоит русскоязычный злоумышленник. Об этом говорят артефакты на русском языке и часовой пояс (UTC+03:00) в коммитах на GitHub. По предварительным оценкам, уже пострадали более 1 500 устройств.

Вся эта кампания использует нелегальный сервис Stargazers Ghost Network — он позволяет размещать вредоносные репозитории на GitHub, маскируя их под взломанное ПО и игровые моды.

 

А что с KimJongRAT?

Параллельно исследователи из Unit 42 (Palo Alto Networks) сообщили о двух новых вариантах известного шпионского инструмента KimJongRAT. Один — в виде исполняемого файла (PE), второй — в PowerShell-реализации. Оба активируются через клик по LNK-файлу и загружают компоненты для кражи данных и нажатий клавиш. За этим стоит, предположительно, северокорейская группировка, связанная с кампаниями BabyShark и Stolen Pencil.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Блокировки в Telegram снизили число утечек БД российских компаний
Новость
Блокировки в Telegram снизили число утечек БД российских ком...
Депутат Говырин предупредил о новой схеме с налоговым вычетом
Новость
Депутат Говырин предупредил о новой схеме с налоговым вычето...
Более 80% медорганизаций в России уязвимы для хакеров
Новость
Более 80% медорганизаций в России уязвимы для хакеров

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.