Кибершпионы запустили новую кампанию против военных и госорганизаций

Кибершпионы запустили новую кампанию против военных и госорганизаций

Кибершпионы запустили новую кампанию против военных и госорганизаций

Кибершпионская группа Transparent Tribe организовала кампанию против сотрудников военных и государственных организаций, находящихся по всему миру. О целевых атаках рассказали специалисты «Лаборатории Касперского».

Как выяснили эксперты антивирусной компании, злоумышленники используют вредоносную программу Crimson, открывающую удалённый доступ к заражённому устройству.

С самого начала киберпреступники взяли неплохой размах — более тысячи организаций в 27 станах подверглись атакам. Основная масса целей находилась в Афганистане, Пакистане, Индии, Иране и Германии.

Не изменяя устоявшемуся порядку, злоумышленники начинают свои атаки с фишинговых писем с прикреплёнными вредоносными документами Microsoft Office. С помощью этих документов в систему жертву устанавливался вышеупомянутый троян удалённого доступа, состоящий из различных компонентов 

Этот вредонос позволял атакующим снимать скриншоты, управлять файлами, прослушивать пользователя и подглядывать за ним (используются встроенные камера и микрофон), а также красть различные данные.

Группировка Transparent Tribe также известна под именами PROJECTM и MYTHIC LEOPARD. По данным исследователей, она ведёт операции кибершпионажа с 2013 года. Подход к атакам в течение многих лет оставался неизменным, однако группа постоянно совершенствует свой основной инструмент — Crimson.

Специалисты отметили, что им постоянно встречаются новые компоненты трояна. «Лаборатория Касперского» опубликовала индикаторы компрометацию (IoC), хеши файлов и командных серверов на сайте Kaspersky Threat Intelligence Portal.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Уязвимость в UEFI Shell позволяет обойти Secure Boot на 200 000 ноутов

При разборе шелл-кода UEFI, подписанного сертификатом Microsoft, исследователи из Eclypsium обнаружили уязвимость, которую, по их словам, можно описать лишь как встроенный бэкдор — притом с доверенной подписью.

Легитимные инструменты диагностики предоставляли возможность получения доступа к памяти на чтение/запись с помощью команды mm (memory modify).

Оказавшись в руках злоумышленника, подобный инструмент позволяет эффективно нейтрализовать защиту Secure Boot и загрузить в систему любой код, в том числе буткит или руткит.

В доказательство своих выводов эксперты продемонстрировали атаку на Security Architectural Protocol, отвечающий за соблюдение политик Secure Boot в процессе начальной загрузки:

 

Уязвимые командные оболочки были обнаружены в прошивках UEFI, распространяемых в качестве обновления для Linux-компьютеров Framework. Тестирование с помощью специально созданных скриптов показало, что это не единственный затронутый вендор.

Получив уведомление, в Framework Computer удостоверились в наличии проблемы, определили охват (несколько моделей ноутбуков и десктопов, суммарно около 200 тыс. устройств) и в срочном порядке стали исправлять ситуацию.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru