Кибершпионы запустили новую кампанию против военных и госорганизаций

Кибершпионы запустили новую кампанию против военных и госорганизаций

Кибершпионы запустили новую кампанию против военных и госорганизаций

Кибершпионская группа Transparent Tribe организовала кампанию против сотрудников военных и государственных организаций, находящихся по всему миру. О целевых атаках рассказали специалисты «Лаборатории Касперского».

Как выяснили эксперты антивирусной компании, злоумышленники используют вредоносную программу Crimson, открывающую удалённый доступ к заражённому устройству.

С самого начала киберпреступники взяли неплохой размах — более тысячи организаций в 27 станах подверглись атакам. Основная масса целей находилась в Афганистане, Пакистане, Индии, Иране и Германии.

Не изменяя устоявшемуся порядку, злоумышленники начинают свои атаки с фишинговых писем с прикреплёнными вредоносными документами Microsoft Office. С помощью этих документов в систему жертву устанавливался вышеупомянутый троян удалённого доступа, состоящий из различных компонентов 

Этот вредонос позволял атакующим снимать скриншоты, управлять файлами, прослушивать пользователя и подглядывать за ним (используются встроенные камера и микрофон), а также красть различные данные.

Группировка Transparent Tribe также известна под именами PROJECTM и MYTHIC LEOPARD. По данным исследователей, она ведёт операции кибершпионажа с 2013 года. Подход к атакам в течение многих лет оставался неизменным, однако группа постоянно совершенствует свой основной инструмент — Crimson.

Специалисты отметили, что им постоянно встречаются новые компоненты трояна. «Лаборатория Касперского» опубликовала индикаторы компрометацию (IoC), хеши файлов и командных серверов на сайте Kaspersky Threat Intelligence Portal.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Четыре бага в Windows Defender Firewall позволяли получить права SYSTEM

Microsoft выпустила обновления безопасности для Windows Defender Firewall Service. Компания закрыла сразу четыре уязвимости (CVE-2025-53808, CVE-2025-54104, CVE-2025-54109 и CVE-2025-54915), которые позволяют злоумышленникам повысить привилегии на системе до уровня SYSTEM.

Все баги относятся к классу Type Confusion и получили одинаковую оценку: важные (Important), CVSS 6.7.

Эксплуатация требует локального доступа, но обходится без взаимодействия пользователя и позволяет обойти обычные механизмы защиты.

По данным Microsoft, каждая из уязвимостей потенциально затрагивает конфиденциальность, целостность и доступность системы. Пока случаев эксплуатации «в бою» не зафиксировано, но компания предупреждает, что риск серьёзный.

Что рекомендует Microsoft:

  • как можно скорее установить сентябрьские обновления безопасности;
  • ограничить вход в систему по локальным учётным записям только доверенными пользователями;
  • следить за логами и необычным поведением службы файрвола;
  • придерживаться принципа минимальных привилегий.

Хотя для атаки нужно попасть на сам компьютер, в корпоративных сетях такие баги могут стать удобным трамплином для захвата всей инфраструктуры. Получив права SYSTEM, злоумышленник способен отключить защиту, закрепиться в системе и развивать атаку дальше.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru